427 articles
CVE-2026-40636 (CVSS 9.8) 在 Dell ECS 和 ObjectScale 中使用硬编码凭证,允许本地攻击者获得文件系统访问权限。
Devs Palace ERP 在线版本 4.0.0 及以下存在两个存储型 XSS 漏洞,允许远程攻击者通过 /inventory/addnewcustomer 和 /inventory/sales_save 注入脚本。
Linux 内核网络代码中的 CVE-2026-43284 和 CVE-2026-43500 允许非特权用户获得 root 权限并逃脱容器。禁运期过后,漏洞被公开利用。
CVE-2026-31247:Docling 的 JATS XML 后端通过 2.61.0 使用 etree.parse() 时未禁用实体扩展,允许 XML 炸弹攻击消耗过多资源和...
FCC将禁止外国制造路由器软件更新的最后期限从2027年3月延长至2029年1月,理由是公众利益关切和行业反对。
CVE-2026-31246(CVSS 9.8)在 GPT-Pilot 的 Executor.run() 中将未经验证的用户输入传递给 asyncio.createsubprocessshell(),使得在项目...期间可以进行任意命令注入
Open5GS版本2.7.7及以下存在两个CVSS评分为4.3的拒绝服务漏洞,允许远程攻击者通过精心设计的PCC规则更新使SMF崩溃。存在公开的漏洞利用代码。
CVE-2026-7820(CVSS 6.5)在 pgAdmin 4 中允许攻击者通过 Flask-Security 的默认 /login 视图暴力破解密码,绕过 MAXLOGINATTEMPTS 的执行。
CVE-2026-7819(CVSS 8.1)在 pgAdmin 4 的文件管理器中允许认证用户通过符号链接路径遍历在他们的存储目录之外写入文件。目前还没有补丁。
SailPoint 向 SEC 报告称,攻击者于 4 月 20 日通过第三方应用程序漏洞访问了其 GitHub 仓库的一个子集。
CVE-2026-7814 (CVSS 4.8): pgAdmin 4 未能清理用户控制的 PostgreSQL 对象名称,从而通过 Browser Tree 和 Explain Visualizer 模块实现存储型 XSS。
CVE-2026-8263 (CVSS 5.8) 在 Tenda AC6 固件 15.03.06.49multiTDE01 中允许未经认证的远程操作系统命令注入,通过 /goform/WifiExtraSet 端点。
