Barebox中的多个漏洞 Barebox发现三个漏洞（CVE-2024-57260、CVE-2024-57261、CVE-2024-57363），影响旧版本，修复于v... 2025-2-17 16:32:0 | 阅读: 5 | 收藏 | 玄武实验室每日安全 - seclists.org barebox sigma pengutronix cgit

CVE-2025-1094：PostgreSQL 引擎中的 SQL 注入漏洞 PostgreSQL发布多个版本的安全更新（17.3、16.7等），修复1个SQL注入漏洞和70多个bug。该漏洞可能导致psql注入攻击。修复引入的回归问题将在2月20日的后续版本中解决。... 2025-2-16 18:44:0 | 阅读: 12 | 收藏 | 玄武实验室每日安全 - seclists.org quoting james solar injection 1094

[vim-security] heap use-after-free in str_to_reg() in Vim < Vim 9.1.1115前版本存在堆use-after-free漏洞，当使用`redir`命令将`:display`输出重定向至正在显示的寄存器时触发。影响中等，已修复。... 2025-2-16 15:15:0 | 阅读: 13 | 收藏 | 玄武实验室每日安全 - seclists.org 1115 clipboard github christian security

Monero 18.3.4 zero-day DoS vulnerability has been dropped publicly on social network. Monero零日漏洞被公开，攻击者利用内存耗尽技术通过Python代码对暴露RPC端口的节点发起DoS攻击，已导致8个公共节点和1个种子节点下线。... 2025-2-16 08:0:41 | 阅读: 9 | 收藏 | Full Disclosure - seclists.org monero network memory python

Netgear Router Administrative Web Interface Lacks Transport Encryption By Default Netgear C7800路由器固件6.01.07版本默认未启用传输加密，管理界面使用基本认证，用户名和密码以明文形式传输，易被窃取。... 2025-2-16 08:0:6 | 阅读: 11 | 收藏 | Full Disclosure - seclists.org netgear ryan delaney c7800

[CVE-2024-54756] GZDoom <= 4.13.1 Arbitrary Code Execution via Malicious ZScript GZDoom 4.13.1及以下版本存在一个ZScript数组大小相关的漏洞，允许通过恶意脚本文件实现任意代码执行。攻击者可利用超大数组覆盖内存区域，并结合JIT编译器的配置问题获取RWX内存权限。该漏洞已分配CVE-2024-54756编号，并计划在4.13.2版本中修复。... 2025-2-16 07:59:10 | 阅读: 12 | 收藏 | Full Disclosure - seclists.org zscript gzdoom rwx 1073741823

Re: Text injection on https://www.google.com/sorry/index via ?q parameter (no XSS) Google的"sorry"页面通过?q参数可注入文本，经base64解码后显示自定义内容，无法执行XSS攻击但可展示恶意链接或信息。... 2025-2-16 07:58:50 | 阅读: 5 | 收藏 | Full Disclosure - seclists.org sorry payload client 4141

CVE-2025-26519：musl libc 中 iconv() 函数的输入控制越界写入漏洞 文章讨论了musl libc中的一个安全漏洞CVE-2025-26519，该漏洞涉及iconv函数中的输入控制越界写入问题。该漏洞通过基本模糊测试发现，并指出iconv代码缺乏足够测试。... 2025-2-14 14:51:0 | 阅读: 34 | 收藏 | 玄武实验室每日安全 - seclists.org musl iconv 26519 daniel gutson

SEC Consult SA-20250211-0 :: Multiple vulnerabilities in Wattsense Bridge 这篇文章披露了Wattsense Bridge设备的四个高危漏洞（CVE-2025-26408至CVE-2025-26411），包括JTAG接口访问、串口访问 bootloader 和 shell、弱硬编码凭证以及通过插件管理器上传恶意Python文件。攻击者可利用这些漏洞控制设备行为或获取远程根访问权限。建议用户立即安装补丁并进行全面安全审查以修复潜在问题。... 2025-2-13 05:25:2 | 阅读: 82 | 收藏 | Full Disclosure - seclists.org wattsense attacker firmware security bootloader

APPLE-SA-02-10-2025-2 iPadOS 17.7.5 这篇文章宣布了iPadOS 17.7.5的安全更新，修复了一个可能导致物理攻击禁用USB受限模式的漏洞（CVE-2025-24200），影响特定iPad型号。建议用户立即安装更新以增强设备安全性。... 2025-2-11 03:50:49 | 阅读: 8 | 收藏 | Full Disclosure - seclists.org security itunes software pgp

APPLE-SA-02-10-2025-1 iOS 18.3.1 and iPadOS 18.3.1 这篇文章宣布了iOS 18.3.1和iPadOS 18.3.1的安全更新，修复了一个可能导致USB受限模式被禁用的漏洞。该漏洞可能被用于针对特定目标的高级攻击。建议用户尽快通过iTunes或设备上的软件更新应用补丁。... 2025-2-11 03:50:47 | 阅读: 6 | 收藏 | Full Disclosure - seclists.org security itunes pgp software

CVE-2024-55447: Access Control in Paxton Net2 software (update) 这篇文章披露了Paxton Net2软件中的严重安全漏洞（CVE-2024-55447），可能导致个人身份信息泄露和访问控制问题。攻击者可通过MSSQL单用户模式获取数据库管理员权限，克隆门禁卡并篡改审计日志。厂商尚未修复该漏洞，建议限制对运行Net2软件的计算机的本地访问权限以降低风险。... 2025-2-11 03:50:19 | 阅读: 15 | 收藏 | Full Disclosure - seclists.org net2 paxton software database

ChatGPT AI finds "security concern" (XSS) in DeepSeek's code 文章指出ChatGPT发现DeepSeek的AI代码存在XSS漏洞，并通过审查DeepSeek的解决方案揭示了HTML注入风险。尽管修复代码提升了安全性，但可能影响特殊字符处理。文章警示AI训练中的知识链攻击问题，并探讨了技术奇点带来的潜在威胁。... 2025-2-11 03:50:2 | 阅读: 16 | 收藏 | Full Disclosure - seclists.org chatgpt deepseek security singularity python

WebKitGTK 和 WPE WebKit 安全公告 WSA-2025-0001 WebKitGTK和WPE WebKit发布了安全公告WSA-2025-0001，披露了七个CVE漏洞（如CVE-2024-27856等），涉及任意代码执行、内存损坏等问题。建议用户更新至最新稳定版本以修复这些问题。... 2025-2-9 18:5:0 | 阅读: 102 | 收藏 | 玄武实验室每日安全 - seclists.org webkit webkitgtk wpe security bugzilla

Apache Kvrocks 跨协议脚本漏洞（CVE-2025-25069） Apache Kvrocks存在跨协议脚本漏洞（CVE-2025-25069），影响至2.11.0版本。因未检测HTTP头信息，HTTP请求可被误认为RESP请求触发数据库操作，结合SSRF有风险。建议升级至2.11.1修复。... 2025-2-7 17:47:0 | 阅读: 25 | 收藏 | 玄武实验室每日安全 - seclists.org kvrocks cverecord 10517 25069 mingyang

PAM模块认证绕过漏洞分析（CVE-2025-24531） 文章讨论了PAM模块中存在安全漏洞的问题：部分仅提供实用功能而不实际认证的模块错误地返回`PAM_SUCCESS`而非`PAM_IGNORE`，导致潜在的认证绕过风险。类似问题已发生（如pam-u2f的CVE-2025-23013），建议引入新关键字（如"utility"或"hook"）以改进这一机制。... 2025-2-7 17:44:0 | 阅读: 59 | 收藏 | 玄武实验室每日安全 - seclists.org pam situations jacob 24531

AMD 微码签名验证漏洞 文章讨论了AMD处理器微码签名验证漏洞及其潜在风险。攻击者若控制hypervisor和微码，可能导致VM无法信任验证结果。签名密钥依赖于微码版本，若被提取或解密，可能引发安全问题。... 2025-2-7 04:35:0 | 阅读: 10 | 收藏 | 玄武实验室每日安全 - seclists.org microcode jacob bachmeyer somewhere pointard

Linux 内核漏洞：OCFS2 文件系统中发现错误处理 oss-secmailing list archivesFrom: Solar Designer <solar () openwall com>Date:... 2025-2-6 17:39:0 | 阅读: 3 | 收藏 | 玄武实验室每日安全 - seclists.org t9408 ocfs2 refcount cow clusters

pam_pkcs11: 错误情况下的可能认证绕过（CVE-2025-24531） 这篇文章报告了pam_pkcs11 0.6.12版本中的一个安全漏洞：在某些情况下，该模块返回PAM_IGNORE而非PAM_CRED_INSUFFICIENT，导致认证绕过。此问题影响依赖pam_pkcs11作为唯一认证模块的系统。已发布0.6.13版本修复该漏洞。... 2025-2-6 14:57:0 | 阅读: 34 | 收藏 | 玄武实验室每日安全 - seclists.org pam pkcs11 gdm opensc

AMD 微码签名验证漏洞 文章讨论了AMD SEV-SNP漏洞及其修复方法。用户需更新SEV固件和BIOS以支持 attestation，并通过验证TCB值确认修复。然而，若攻击者控制hypervisor和微代码，VM如何确保验证未被欺骗仍存疑。... 2025-2-6 03:38:0 | 阅读: 10 | 收藏 | 玄武实验室每日安全 - seclists.org microcode attestation snp sev jacob