漏洞

【高危】PyPI仓库 crto0 组件内嵌信息窃取木马 漏洞描述 当用户安装受影响版本的 crto0 Python组件时会从攻击者可控的Github地址下载并执行恶意木马，该木马会窃取Windows系统重的系统与硬件信息（用户信息、屏幕截图、摄像头、硬盘、IP、Mac地址等）、Discord账户信息、浏览器信息（密码、Cookie、浏览记录、信用卡信息）以及…

【严重】WPS文档中心及文档中台远程命令执行漏洞 漏洞描述 WPS文档中心是面向个人和企业的云端文档存储与管理平台，WPS文档中台是为企业提供的集成化文档协同与流程管理解决方案，强调API对接与业务系统整合。在2024年5月之前通过docker私有化部署的版本中，攻击者可未授权访问接口 /open/v6/api/etcd/operate?key=/confi…

【高危】PyPI仓库 iscc-flag 组件内嵌恶意木马 漏洞描述 当用户安装受影响版本的 iscc-flag Python组件包时会下载恶意木马 run.bat，窃取Windows系统敏感信息并进行远控。 MPS编号 MPS-7d9y-rvtn 处置建议 强烈建议修复 发现时间 2025-07-16 投毒仓库 pip 投毒类型 主机信息收集、后门文件 利…

【高危】Node.js Windows下路径遍历漏洞 漏洞描述 Node.js是Node.js开源的一个开源、跨平台的 JavaScript 运行时环境。受影响版本中，在Windows系统下，利用Windows 保留设备名（如 AUX、CON、PRN等）可绕过path.join的路径遍历保护，导致攻击者可以通过..\..\AUX\..\..\target.t…

【高危】NPM组件 @ivy-shared-components/iconslibrary 等窃取主机敏感信息 漏洞描述 当用户安装受影响版本的 @ivy-shared-components/iconslibrary 等NPM组件包时会窃取用户的主机名、用户名、工作目录、IP地址等信息并发送到攻击者可控的服务器地址。 MPS编号 MPS-zh19-e78w …

【高危】Google Chrome V8< 13.6.86 类型混淆漏洞 漏洞描述 Google Chrome 是美国谷歌（Google）公司的一款Web浏览器，V8 是 Google 开发的高性能开源 JavaScript 和 WebAssembly 引擎，广泛应用于 Chrome 浏览器和 Node.js 等环境。受影响版本中，V8 Turbosh…

【高危】VSCode插件 Est.Est 内嵌恶意木马 漏洞描述 当用户安装受影响版本的 Est.Est 插件时会下载并执行恶意木马 ScreenConnect.ClientSetup.msi，攻击者可窃取主机信息并进行远控。 MPS编号 MPS-stjq-fwo7 处置建议 强烈建议修复 发现时间 2025-07-14 投毒仓库 vscode 投毒类型 主…

【高危】Google Chrome V8< 13.6.86 类型混淆漏洞 漏洞描述 Google Chrome 是美国谷歌（Google）公司的一款Web浏览器，V8 是 Google 开发的高性能开源 JavaScript 和 WebAssembly 引擎，广泛应用于 Chrome 浏览器和 Node.js 等环境。受影响版本中，V8 Turbosh…

【高危】NPM组件 @blocks-shared/atom-panel 等窃取主机敏感信息 漏洞描述 当用户安装受影响版本的 @blocks-shared/atom-panel 等NPM组件包时会窃取用户的主机名、用户名、工作目录、IP地址等信息并发送到攻击者可控的服务器地址。 MPS编号 MPS-8htd-4bis 处置建议 强烈建议修复 发现时间 202…

【高危】契约锁电子签章系统 pdfverifier 远程代码执行漏洞 漏洞描述 契约锁是上海亘岩网络科技有限公司推出的一个电子签章及印章管控平台。受影响版本中，pdfverifier 接口在处理 OFD 文件（实质为 ZIP 压缩格式）时，未对压缩包内的文件名进行路径合法性校验。攻击者可构造包含 ../ 的恶意条目，在解压过程中将文件写入服务器任意路径，从而…