【最新漏洞播报】

原创 moon 皓月当空w 2025-03-09 22:12

点击上方蓝字关注我们吧

文章后有监控平台使用方式

漏洞播报

各级别漏洞统计:

中危: 16个漏洞

高危: 32个漏洞

严重: 4个漏洞
gitbug

– qcp在某些构建配置中可能会崩溃/DOS

– protobuf crate中不受控制的递归导致崩溃

– Horcrux Double Sign Possibility

– Some AES functions may panic when overflow checking is enabled in ring

– Microsoft Security Advisory CVE-2025-24043 | WinDbg Remote Code Execution Vulnerability

– com.xwiki.confluencepro:application-confluence-migrator-pro-ui’s application homepage is public

– com.xwiki.confluencepro:application-confluence-migrator-pro-ui Remote Code Execution via unescaped translations

– Vue I18n Allows Prototype Pollution in handleFlatJson

– axios Requests Vulnerable To Possible SSRF and Credential Leakage via Absolute URL

– DoS Vulnerability in TraceContextPropagator.Extract – OpenTelemetry.Api

– Out-of-bounds Write in SixLabors ImageSharp

– Django vulnerable to Allocation of Resources Without Limits or Throttling

– Fleet has SAML authentication vulnerability due to improper SAML response validation

– Envoy Gateway Log Injection Vulnerability

– NocoDB Vulnerable to Reflected Cross-Site Scripting on Reset Password Page

– ray vulnerable to Insertion of Sensitive Information into Log File

– Jenkins Open Redirect vulnerability 

– Jenkins cross-site request forgery (CSRF) vulnerability

– Jenkins reveals encrypted values of secrets stored in agent configuration to users with Agent/Extended Read permission

– Emissary May Use a Broken or Risky Cryptographic Algorithm

– Spacy-LLM Server-Side Template Injection (SSTI) vulnerability

– Jinja2 vulnerable to sandbox breakout through attr filter selecting format method

– dmlc/dgl Vulnerable to Remote Code Execution by Pickle Deserialization via rpc.recv_request()

– Volt Allows RCE Via User-Crafted Requests

– Laravel has a File Validation Bypass

– REDAXO allows Authenticated Reflected Cross Site Scripting – packages installation

– OpenDJ Denial of Service (DoS) using alias loop

– REDAXO allows Arbitrary File Upload in the mediapool page

– Lucee RCE/XXE Vulnerability

详情请查看：http://www.loveli.com.cn:12530/buglist?cve_firm=gitbug

用友

– U8CLOUD系统IUFO部分从ActionForm中获取参数的接口存在SQL注入漏洞的安全补丁

– GRP-U8R10+20230630关于用友GRP-U8存在WSDL接口未授权访问漏洞的解决方案

– CRM系统存在任意文件读取漏洞的补丁20241227

– U8CLOUD系统API接口pub.sql.query存在SQL注入漏洞的安全补丁

– 20241211-用友GRP-U8Cloud敏感信息漏洞安全补丁包

– U9_Cloud逻辑漏洞补丁

– U8CRM存在SQL注入漏洞的安全补丁2411282

– U8CRM存在SQL注入漏洞的安全补丁241128

– U8CRM存在SQL注入漏洞的安全补丁241125

– 财务云平台菜单权限安全过滤器启用说明

– 关于U8cloud系统IUFO部分从ActionForm中获取参数的接口存在SQL注入漏洞的安全公告

– 关于用友NC6.5 portal rmwebImage download接口存在SQL注入漏洞的安全通告

– 关于NC系统工作桌面状态查询存在SQL注入漏洞的安全通告

– 关于用友GRP-U8内控管理软件WSDL接口(或services/xx)存在信息泄露漏洞的安全通告

– 关于U8cloud系统存在Uclient端Token泄露导致未授权访问漏洞的安全公告

– 关于NC系统imageupload接口的sql注入漏洞的安全通告

– 关于NC系统rmImage接口的sql注入漏洞的安全通告

– 关于NC系统view接口的sql注入漏洞的安全通告

– 关于U8cloud系统API接口pub.sql.query存在SQL注入漏洞的安全公告

– 关于NC Cloud系统的mob接口tenantId参数sql注入漏洞的安全通告

详情请查看：http://www.loveli.com.cn:12530/buglist?cve_firm=用友

gitlab

– gitlab存在漏洞_CVE-2025-23197

– gitlab存在漏洞_CVE-2025-22607

– gitlab存在漏洞_CVE-2025-2045

– gitlab存在漏洞_CVE-2025-1540

– gitlab存在Uncontrolled Recursion漏洞_CVE-2025-1492

– gitlab存在漏洞_CVE-2025-1212

– gitlab存在漏洞_CVE-2025-1198

– gitlab存在漏洞_CVE-2025-1072

– gitlab存在漏洞_CVE-2025-1042

– gitlab存在Incorrect Authorization漏洞_CVE-2025-0781

详情请查看：http://www.loveli.com.cn:12530/buglist?cve_firm=gitlab

cnvd

– 北京镜舟科技有限公司StarRocks数据库系统存在未授权访问漏洞

详情请查看：http://www.loveli.com.cn:12530/buglist?cve_firm=cnvd

广告：朋友最近在做cve代申请，简历指导，面试模拟，各大安全认证资料和题库，有意者可以后台留言。

使用方式：

首先需要关注公众号，然后发送token，直接访问概链接就可以登陆了。

仪表盘页面：

机器人功能暂停ing，有需要可私聊联系

BugSearch正式于2023年12月13日开始内测，功能仅开放每日漏洞更新。

• 2023年10月1日 开始筹备

• 2023年11月10日 漏洞检测模块完成

• 2023年11月25日 前端UI完成

• 2023年12月5日 前端UI替换优化

• 2023年12月13日 正式开始内测

• 2023年12月18日 完成高级搜索功能

• 2023年12月18日 站点人数统计

• 2024年1月9日 漏洞点击统计功能

• 2024年1月10日 UI调整

• 2024年4月29日 新增放假啦功能

• 2024年5月7日 更新UI，适配手机端

• 2024年5月7日 更新获取方式，现在公众号回复token，直接返回链接，访问后即可登录

• 2024年5月17日 新增更多咨询，以及freebuff，安全客文章

• 2024年5月18日 新增先知文章

• 2024年5月22日 开通机器人功能

• 2024年5月23日 新增数据源

• 2024年6月5日 新增机器人推送早报功能

• 2025年3月4日 项目重新启动