最新披露
0 个结果XVE-2025-0004
Halo 后台 SSRF 漏洞
Halo 内容管理系统 接口存在服务端请求伪造 (SSRF) 漏洞。认证用户可请求任意内网或外部 URL,导致内网信息泄露或端口扫描。
CWE-918 (服务端请求伪造 (SSRF))
Halo
XVE-2025-0005
JeecgBoot 低权限SQL注入漏洞
JeecgBoot 3.9.0 存在 SQL 注入漏洞。原因为系统未对参数进行充分过滤,直接进行 SQL 拼接。攻击者可利用该漏洞执行任意 SQL 语句,获取敏感数据(如管理员密码哈希)。
CWE-89 (SQL注入)
JeecgBoot
XVE-2025-0006
diboot 未授权访问 导致信息泄露
在默认配置下允许匿名访问接口。攻击者可利用该漏洞访问模型配置接口获取敏感信息,甚至可能实现远程代码执行 (RCE)。
CWE-306 (关键功能认证缺失)
diboot
XVE-2025-0003
JumpServer SSTI 远程代码执行漏洞
JumpServer 存在服务端模板注入 (SSTI) 漏洞。服务端被模板引擎处理时未进行适当过滤。经过身份验证的用户可以利用语法注入 Python 代码从而在服务器上以 root 权限执行任意命令,导致系统完全被攻陷。
CWE-94 (代码注入)
jumpserver
XVE-2025-0001
Next.js/React RSC Flight 反序列化原型链遍历导致未鉴权远程代码执行
易受影响版本的 Next.js App Router / React Server Components 在 Flight 协议反序列化时缺少自有属性校验,攻击者可利用 __proto__ 进行原型链遍历并借由 constructor:constructor 触达 Function 构造器,从而在服务器端执行任意代码。该问题在携带 Next-Action 头的请求中于反序列化阶段触发,发生在 action 校验之前,导致未鉴权 RCE。
CWE-94 (代码注入)
React
XVE-2025-0002
Gogs 远程代码执行漏洞 (RCE)
Gogs 是一个基于 Go 语言开发的自托管 Git 服务。在 Gogs 中存在一个远程代码执行漏洞,攻击者可以利用此漏洞,在服务器上执行任意命令。
CWE-78 (操作系统命令注入)
Gogs