427 articles
CVE-2022-50945 (CVSS 6.4): WordPress 3dady 实时网络统计插件 1.0 中的存储型 XSS 允许经过身份验证的攻击者通过未经过清理的输入字段注入 JavaScript,使得...
CVE-2022-50955: WordPress Curtain 1.0.2 CSRF 漏洞允许攻击者通过伪造请求在没有 nonce 验证的情况下欺骗管理员切换网站维护模式。
CVE-2021-47948 (CVSS 5.4): 经过身份验证的攻击者可以通过 GetPaid 2.4.6 中的帮助文本字段注入任意 HTML,从而在支付表单上启用存储型 XSS 攻击。
CVE-2026-8069: Acer PredatorSense 版本 3.00.3136 至 3.00.3196 暴露了一个配置错误的命名管道,允许任何经过身份验证的本地用户以SYSTEM身份执行代码并删除...
CVE-2026-42880 (CVSS 9.6) 在 Argo CD 中允许只读攻击者通过 ServerSideDiff 端点使用 Server-Side Apply dry-run 提取 Kubernetes 明文密钥。
在 Bouncy Castle BC-FJA 2.1.0–2.1.2 中的 CVE-2026-8149 通过 AVX-512f 优化的 gcm128w/gcm512w 例程的侧信道泄露 AES-GCM 认证密钥。
CVE-2026-8076: CashDro 3 ATM 管理面板(v24.01.00.26)接受数字PIN进行身份验证,使得可以进行暴力破解攻击,可能会危及现金分配器控制。
CVE-2023-47268 (CVSS 5.3): 通过 PrusaSlicer 2.6.1 的精心制作的 3mf 项目文件在切片时执行任意代码 —— 用户交互仅限于打开文件。
CVE-2024-30167 (CVSS 6.3): 认证用户可以通过发送特制的POST请求到/cgi-bin/time.cgi,在Atlona AT-OME-MS42 Matrix Switcher 1.1.2上以root权限执行任意命令。
CVE-2025-69690(CVSS 9.1)允许经过身份验证的管理员通过创建一个包含序列化PHP对象的备份文件,在pfSense CE 2.7.2上实现远程代码执行。
CVE-2025-69691 (CVSS 9.9) 在 Netgate pfSense CE 2.8.0 中允许经过身份验证的管理员通过 XMLRPC 的 pfsense.exec_php 执行任意 PHP;Netgate 对此严重性提出异议。
CVE-2022-50994 (CVSS 8.1): 未经认证的攻击者可以通过运行DrayTek Vigor 2960路由器的CGI登录处理器中的formpassword参数注入shell命令...
