APPLE-SA-03-11-2025-3 macOS Sequoia 15.3.2 苹果发布macOS Sequoia 15.3.2更新修复WebKit漏洞，防止恶意网页突破沙盒限制。该漏洞可能被用于针对特定用户的复杂攻击。更新可通过Mac App Store或苹果官网下载。... 2025-3-20 12:17:18 | 阅读: 15 | 收藏 | Full Disclosure - seclists.org security sequoia pgp 100100

APPLE-SA-03-11-2025-2 iOS 18.3.2 and iPadOS 18.3.2 苹果发布安全更新iOS 18.3.2和iPadOS 18.3.2，修复WebKit漏洞，防止恶意网页突破沙盒限制。该漏洞可能被用于针对特定用户的复杂攻击。建议用户尽快安装更新以提升安全性。... 2025-3-20 12:17:15 | 阅读: 4 | 收藏 | Full Disclosure - seclists.org security itunes pgp software

APPLE-SA-03-11-2025-1 Safari 18.3.1 苹果发布Safari 18.3.1安全更新，修复WebKit中的越界写入漏洞，防止恶意网页突破沙盒限制。该漏洞可能被用于针对特定用户的攻击。更新已通过Mac App Store提供。... 2025-3-20 12:17:13 | 阅读: 9 | 收藏 | Full Disclosure - seclists.org security pgp mailing seclists

CVE-2019-16261 (UPDATE): Unauthenticated POST requests to Tripp Lite UPS Systems 这篇文章揭示了Tripp Lite UPS和PDU设备中的一个关键安全漏洞（CVE-2019-16261），允许未认证用户通过POST请求控制设备功能，包括更改密码和断开电源。该漏洞影响多个型号，并已被修复。建议升级固件以缓解风险。... 2025-3-20 12:17:6 | 阅读: 7 | 收藏 | Full Disclosure - seclists.org tripp ups firmware 16261 lucas

Multiple sandbox escapes in asteval python sandboxing module asteval模块存在安全漏洞，版本<=1.06受影响。攻击者可利用numpy函数中的ndarray ctypes属性绕过沙盒限制，执行任意代码。已向维护者报告并修复，CVE待定。另有多个未公开漏洞。... 2025-3-11 18:2:9 | 阅读: 9 | 收藏 | Full Disclosure - seclists.org numpy asteval ctypes ndarray python

Apache Camel 消息头注入漏洞通过不当过滤 Apache Camel存在绕过过滤机制的注入漏洞（CVE-2025-27636），影响多个版本（如4.10.0至4.10.1、4.8.0至4.8.4、3.10.0至3.22.3）。攻击者通过改变字母大小写绕过默认过滤机制，注入恶意头信息以调用Bean注册表中的任意方法或使用表达式语言。建议升级至安全版本或移除危险头信息修复问题。... 2025-3-9 14:52:0 | 阅读: 20 | 收藏 | 玄武实验室每日安全 - seclists.org camel andrea injection cosentino attackers

使用tar.vim和特制tar文件可能存在的代码执行漏洞 Vim的tar.vim插件存在高危漏洞，允许通过特制tar文件执行代码。漏洞源于未验证输入的":read"命令。影响大但需用户主动打开恶意文件。已修复于v9.1.1164版本。... 2025-3-2 18:46:0 | 阅读: 10 | 收藏 | 玄武实验室每日安全 - seclists.org christian github security mar brabandt

GNU Emacs 30.1 发布，修复了两个 CVE 漏洞 文章讨论了Emacs中文件局部变量的安全性问题，特别是与`eval`和`mode`相关的潜在风险。作者建议禁用自动补全功能并设置`enable-local-eval`为`nil`来缓解风险，但指出这可能带来不便。此外，文章提到Emacs 30.1版本修复了两个CVE漏洞，并讨论了URL处理中的安全问题。... 2025-3-1 18:43:0 | 阅读: 16 | 收藏 | 玄武实验室每日安全 - seclists.org emacs nikulin lisp mar setq

GNU Emacs 30.1 发布带 2 个 CVE 修复 Emacs文件局部变量存在安全隐患，攻击者可利用自定义Lisp函数执行恶意代码。专家建议禁用自动补全和本地评估以缓解风险，但可能影响用户体验。... 2025-3-1 16:51:0 | 阅读: 6 | 收藏 | 玄武实验室每日安全 - seclists.org emacs mar nikulin ahlgren henrik

Xen安全通告467 v1 (CVE-2025-1713)：VT-d与旧PCI设备传递时的死锁风险 Xen安全漏洞CVE-2025-1713（XSA-467）可能导致VT-d和旧PCI设备传递时的死锁问题，影响Xen 4.0及以上版本和Intel IOMMU硬件系统。缓解方法是避免传递受影响设备类型。... 2025-2-28 02:45:0 | 阅读: 23 | 收藏 | 玄武实验室每日安全 - seclists.org xen security deadlock vt 1713

Xen安全公告467 v1 (CVE-2025-1713) - VT-d与旧PCI设备传递导致的死锁风险 Xen安全漏洞CVE-2025-1713导致VT-d与旧PCI设备传递时发生死锁，影响Xen 4.0及以上版本及Intel IOMMU系统。缓解措施包括避免传递受影响设备或禁用中断重映射，并提供补丁修复问题。... 2025-2-27 16:54:0 | 阅读: 16 | 收藏 | 玄武实验室每日安全 - seclists.org xen security deadlock vt teddy

SEC Consult SA-20250226-0 :: Multiple vulnerabilities in Siemens A8000 CP-8050 & CP-8031 PLC 西门子A8000系列PLC设备存在两个高危漏洞（CVE-2024-39601和CVE-2024-53832），分别涉及固件降级和通过安全元件解密更新文件。受影响版本为<05.40和<05.30。建议升级至V05.40或V05.30，并限制网络访问及物理接触以降低风险。... 2025-2-27 13:56:31 | 阅读: 14 | 收藏 | Full Disclosure - seclists.org siemens firmware plc spi security

Re: MitM attack against OpenSSH's VerifyHostKeyDNS-enabled client Qualys发现OpenSSH两个漏洞：启用VerifyHostKeyDNS的客户端易受中间人攻击，绕过身份验证；客户端和服务器易受拒绝服务攻击（内存和CPU消耗）。... 2025-2-27 13:56:2 | 阅读: 4 | 收藏 | Full Disclosure - seclists.org ssh client openssh sshkey sshbuf

Xen安全公告467（CVE-2025-1713）：VT-d和旧PCI设备透传中的死锁风险 Xen安全漏洞（CVE-2025-1713/XSA-467）可能导致VT-d和旧PCI设备传递时的死锁问题，影响Xen 4.0及以上版本及Intel VT-d系统。避免传递特定设备或应用补丁可修复此漏洞。... 2025-2-27 12:56:0 | 阅读: 16 | 收藏 | 玄武实验室每日安全 - seclists.org xen security deadlock xsa467 vt

MitM attack against OpenSSH's VerifyHostKeyDNS-enabled client Qualys披露OpenSSH两个漏洞：VerifyHostKeyDNS启用时易受中间人攻击，可绕过身份验证；预认证DoS攻击导致内存和CPU消耗过高。... 2025-2-21 04:27:53 | 阅读: 7 | 收藏 | Full Disclosure - seclists.org ssh client openssh sshkey sshbuf

Self Stored XSS - acp2sev7.2.2 文章描述了在acp2sev7.2.2版本中发现的一个自我存储型XSS漏洞。攻击者可通过在管理员名称字段中注入恶意代码（如`><svg onload=prompt(document.cookie)>`）触发漏洞，导致执行XSS攻击并获取cookie信息。... 2025-2-21 04:27:18 | 阅读: 7 | 收藏 | Full Disclosure - seclists.org php mul andrey stoykov muladmin

Python's official documentation contains textbook example of insecure code (XSS) Python官方文档中的CGI模块示例存在XSS漏洞，未对用户输入进行过滤或转义。该示例可能导致跨站脚本攻击，并被AI工具如ChatGPT和Deepseek生成类似不安全代码。CGI模块已弃用并移除，建议避免使用旧模块以减少风险。... 2025-2-21 04:16:4 | 阅读: 6 | 收藏 | Full Disclosure - seclists.org python georgi guninski textbook chatgpt

libxml2 中的多个漏洞 嗯，用户让我总结一下这篇文章的内容，控制在一百个字以内，而且不需要用“文章内容总结”之类的开头。直接写描述就行。 首先，我需要仔细阅读邮件内容。邮件来自Nick Wellnhofer，日期是2025年2月18日。他提到libxml2库修复了三个漏洞：CVE-2024-56171、CVE-2025-24928和一个未编号的... 2025-2-18 17:5:0 | 阅读: 4 | 收藏 | 玄武实验室每日安全 - seclists.org gnome libxml2 gitlab nick wellnhofer

Re: Netgear Router Administrative Web Interface Lacks Transport Encryption By Default Full Disclosuremailing list archivesFrom: Gynvael Coldwind <gynvael () coldwind... 2025-2-18 04:10:33 | 阅读: 5 | 收藏 | Full Disclosure - seclists.org coldwind gynvael netgear lacks

U-Boot 中的多个漏洞 这篇文章报告了U-Boot中的多个安全漏洞（包括整数溢出、堆栈溢出和堆损坏等），影响版本为<= 2024.10。攻击者可利用这些漏洞绕过信任链并执行代码。建议升级至v2025.01-rc1或更高版本以修复问题。... 2025-2-17 16:35:0 | 阅读: 3 | 收藏 | 玄武实验室每日安全 - seclists.org denx sigma squashfs overflow richard