漏洞

【高危】PyPI仓库 pytensorlite 组件窃取用户敏感信息 漏洞描述 当用户安装受影响版本的 pytensorlite Python组件包时会窃取用户的浏览器、Discord/加密货币钱包、社交媒体应用（Instagram、TikTok、ProtonMail）等敏感数据信息，并发送到攻击者的 Discord Webhook 地址。 MPS编号 MP…

【高危】NPM组件 @capacitor-bmo/biometric 等窃取主机敏感信息 漏洞描述 当用户安装受影响版本的 @capacitor-bmo/biometric 等NPM组件包时会窃取用户的主机名、用户名、IP地址信息并发送到攻击者可控的服务器地址。 MPS编号 MPS-ulta-dq1b 处置建议 强烈建议修复 发现时间 2025-08-17 …

【高危】Google Chrome V8<13.8.79 沙箱绕过漏洞 漏洞描述 Google Chrome 是美国谷歌（Google）公司的一款Web浏览器，V8 是 Google 开发的高性能开源 JavaScript 和 WebAssembly 引擎，广泛应用于 Chrome 浏览器和 Node.js 等环境。受影响版本中，owner_ident…

【高危】NPM组件 @angular_devkit/architect 等窃取主机敏感信息 漏洞描述 当用户安装受影响版本的 @angular_devkit/architect 等NPM组件包时会窃取用户的主机名、用户名、IP地址信息并发送到攻击者可控的服务器地址。 MPS编号 MPS-b43a-1vwt 处置建议 强烈建议修复 发现时间 2025-08-1…

【中危】NGINX ngx_mail_smtp_module 内存越界读取漏洞 漏洞描述 NGINX是一个开源的、高性能的HTTP和反向代理服务器，同时也是一个IMAP/POP3/SMTP代理服务器。它被广泛应用于构建高并发、高可用的Web服务。受影响版本中，当NGINX配置了ngx_mail_smtp_module模块，并且smtp_auth指令设置为no…

【高危】NPM组件 @angular_devkit/core 等窃取主机敏感信息 漏洞描述 当用户安装受影响版本的 @angular_devkit/core 等NPM组件包时会窃取用户的主机名、用户名、IP地址信息并发送到攻击者可控的服务器地址。 MPS编号 MPS-1jf5-s6ix 处置建议 强烈建议修复 发现时间 2025-08-14 投毒仓库 npm…

【高危】NPM组件 @amiga-fwk-nodejs/log 等窃取主机敏感信息 漏洞描述 当用户安装受影响版本的 @amiga-fwk-nodejs/log 等NPM组件包时会窃取用户的主机名、用户名、工作目录、IP地址等信息并发送到攻击者可控的服务器地址。 MPS编号 MPS-l8r3-kn1o 处置建议 强烈建议修复 发现时间 2025-08-13 …

【高危】Stirling-PDF < 1.1.0 SSRF漏洞 漏洞描述 Stirling-PDF是一款开源的、功能强大的Web应用程序，为用户提供了一系列处理PDF文件的工具，如格式转换、页面编辑、合并与拆分等。受影响版本中，HTML 转 PDF 功能未校验 等标签的 src URL，攻击者可提交含内网或特定地址的 HTML 文件，使服务器发起未授权…

【高危】PyPI仓库 GramApi 组件窃取主机敏感信息 漏洞描述 当用户安装受影响版本的 GramApi Python组件包时会窃取用户的主机名、操作系统、机器架构、公网/内网 IP、当前用户、Python 版本等信息并发送到攻击者可控的Telegram地址（Bot Token：8053585122:AAGYVF0srARSIlKCmTK54WiIjWc…

【高危】Cherry Studio 命令注入漏洞 漏洞描述 Cherry Studio 是一款开源的桌面客户端，用于支持多种大型语言模型（LLM）提供商。受影响版本中，Cherry Studio在处理与MCP服务器的连接认证流程时存在缺陷。redirectToAuthorization 函数接收到来自服务器的授权端点URL后，未作任何安全检查，便将其直接传递…