漏洞

【中危】NGINX ngx_mail_smtp_module 内存越界读取漏洞 漏洞描述 NGINX是一个开源的、高性能的HTTP和反向代理服务器，同时也是一个IMAP/POP3/SMTP代理服务器。它被广泛应用于构建高并发、高可用的Web服务。受影响版本中，当NGINX配置了ngx_mail_smtp_module模块，并且smtp_auth指令设置为no…

【高危】NPM组件 @angular_devkit/core 等窃取主机敏感信息 漏洞描述 当用户安装受影响版本的 @angular_devkit/core 等NPM组件包时会窃取用户的主机名、用户名、IP地址信息并发送到攻击者可控的服务器地址。 MPS编号 MPS-1jf5-s6ix 处置建议 强烈建议修复 发现时间 2025-08-14 投毒仓库 npm…

【高危】NPM组件 @amiga-fwk-nodejs/log 等窃取主机敏感信息 漏洞描述 当用户安装受影响版本的 @amiga-fwk-nodejs/log 等NPM组件包时会窃取用户的主机名、用户名、工作目录、IP地址等信息并发送到攻击者可控的服务器地址。 MPS编号 MPS-l8r3-kn1o 处置建议 强烈建议修复 发现时间 2025-08-13 …

【高危】Stirling-PDF < 1.1.0 SSRF漏洞 漏洞描述 Stirling-PDF是一款开源的、功能强大的Web应用程序，为用户提供了一系列处理PDF文件的工具，如格式转换、页面编辑、合并与拆分等。受影响版本中，HTML 转 PDF 功能未校验 等标签的 src URL，攻击者可提交含内网或特定地址的 HTML 文件，使服务器发起未授权…

【高危】PyPI仓库 GramApi 组件窃取主机敏感信息 漏洞描述 当用户安装受影响版本的 GramApi Python组件包时会窃取用户的主机名、操作系统、机器架构、公网/内网 IP、当前用户、Python 版本等信息并发送到攻击者可控的Telegram地址（Bot Token：8053585122:AAGYVF0srARSIlKCmTK54WiIjWc…

【高危】Cherry Studio 命令注入漏洞 漏洞描述 Cherry Studio 是一款开源的桌面客户端，用于支持多种大型语言模型（LLM）提供商。受影响版本中，Cherry Studio在处理与MCP服务器的连接认证流程时存在缺陷。redirectToAuthorization 函数接收到来自服务器的授权端点URL后，未作任何安全检查，便将其直接传递…

【高危】NPM组件 @evt-cdk/codepipeline 等窃取主机敏感信息 漏洞描述 当用户安装受影响版本的 @evt-cdk/codepipeline 等NPM组件包时会窃取用户的主机名、用户名、工作目录、IP地址等信息并发送到攻击者可控的服务器地址。 MPS编号 MPS-zin0-7bsl 处置建议 强烈建议修复 发现时间 2025-08-07 …

【高危】Google Chrome <139.0.7236.0 UAF漏洞 漏洞描述 Google Chrome 是美国谷歌（Google）公司的一款Web浏览器。受影响版本中，OpenscreenSessionHost::ReportAndLogError 方法的参数使用了 std::string_view 类型来接收错误消息。当一个异步任务通过 b…

【高危】NPM组件 @abg-mec/fwk-fe-devcraft 等窃取主机敏感信息 漏洞描述 当用户安装受影响版本的 @abg-mec/fwk-fe-devcraft 等NPM组件包时会窃取用户的主机名、用户名、工作目录、IP地址等信息并发送到攻击者可控的服务器地址。 MPS编号 MPS-3kfh-a8ed 处置建议 强烈建议修复 发现时间 2025-…

【严重】Apache OFBiz Scrum 组件命令注入漏洞 漏洞描述 Apache OFBiz 是一款知名的开源企业资源规划(ERP)解决方案，它提供了一整套开箱即用的企业级应用。Scrum 是 OFBiz 的一个插件，旨在为敏捷开发团队提供项目管理功能，其中包括与 SVN 版本控制系统的集成。受影响版本中，Scrum 插件内的 ScrumService…