漏洞

【高危】NPM组件 @evt-cdk/codepipeline 等窃取主机敏感信息 漏洞描述 当用户安装受影响版本的 @evt-cdk/codepipeline 等NPM组件包时会窃取用户的主机名、用户名、工作目录、IP地址等信息并发送到攻击者可控的服务器地址。 MPS编号 MPS-zin0-7bsl 处置建议 强烈建议修复 发现时间 2025-08-07 …

【高危】Google Chrome <139.0.7236.0 UAF漏洞 漏洞描述 Google Chrome 是美国谷歌（Google）公司的一款Web浏览器。受影响版本中，OpenscreenSessionHost::ReportAndLogError 方法的参数使用了 std::string_view 类型来接收错误消息。当一个异步任务通过 b…

【高危】NPM组件 @abg-mec/fwk-fe-devcraft 等窃取主机敏感信息 漏洞描述 当用户安装受影响版本的 @abg-mec/fwk-fe-devcraft 等NPM组件包时会窃取用户的主机名、用户名、工作目录、IP地址等信息并发送到攻击者可控的服务器地址。 MPS编号 MPS-3kfh-a8ed 处置建议 强烈建议修复 发现时间 2025-…

【严重】Apache OFBiz Scrum 组件命令注入漏洞 漏洞描述 Apache OFBiz 是一款知名的开源企业资源规划(ERP)解决方案，它提供了一整套开箱即用的企业级应用。Scrum 是 OFBiz 的一个插件，旨在为敏捷开发团队提供项目管理功能，其中包括与 SVN 版本控制系统的集成。受影响版本中，Scrum 插件内的 ScrumService…

【高危】NPM组件 @itx-community/com.inditex.beastgrid 等窃取主机敏感信息 漏洞描述 当用户安装受影响版本的 @itx-community/com.inditex.beastgrid 等NPM组件包时会窃取用户的主机名、用户名、工作目录、IP地址等信息并发送到攻击者可控的服务器地址。 MPS编号 MPS-qxji-tw5…

【高危】NPM组件 @beacon-itx/react 等窃取主机敏感信息 漏洞描述 当用户安装受影响版本的 @beacon-itx/react 等NPM组件包时会窃取用户的主机名、用户名、工作目录、IP地址等信息并发送到攻击者可控的服务器地址。 MPS编号 MPS-vwdj-qi2a 处置建议 强烈建议修复 发现时间 2025-08-04 投毒仓库 npm…

【高危】NPM组件 aiohappyeyeballs 等窃取主机敏感信息 漏洞描述 当用户安装受影响版本的 aiohappyeyeballs 组件包时会窃取用户的主机名、用户名、工作目录、IP地址等信息并发送到攻击者可控的服务器地址。 MPS编号 MPS-yn10-lj8a 处置建议 强烈建议修复 发现时间 2025-08-03 投毒仓库 npm 投毒类型 …

【高危】NPM组件 @usaa-grp-payments-web-experience/bk-acknowledge-module 等窃取主机敏感信息 漏洞描述 当用户安装受影响版本的 @usaa-grp-payments-web-experience/bk-acknowledge-module 等NPM组件包时会窃取用户的主机名、用户名、工作目录、IP地址…

【高危】Google Chrome <137.0.7129.0 BrowserTabStripTracker UAF漏洞 漏洞描述 Google Chrome 是美国谷歌（Google）公司的一款Web浏览器。受影响版本中，BrowserTabStripTracker 组件在初始化时会遍历列表 BrowserList。由于程序启动时加载扩展和自动打开开…

【高危】NPM组件 @coolblue-development/next-recently-viewed 等窃取主机敏感信息 漏洞描述 当用户安装受影响版本的 @coolblue-development/next-recently-viewed 等NPM组件包时会窃取用户的主机名、用户名、工作目录、IP地址等信息并发送到攻击者可控的服务器地址。 MPS编号 …