Apache Camel 消息头注入漏洞通过不当过滤 Apache Camel存在绕过过滤机制的注入漏洞（CVE-2025-27636），影响多个版本（如4.10.0至4.10.1、4.8.0至4.8.4、3.10.0至3.22.3）。攻击者通过改变字母大小写绕过默认过滤机制，注入恶意头信息以调用Bean注册表中的任意方法或使用表达式语言。建议升级至安全版本或移除危险头信息修复问题。... 2025-3-9 14:52:0 | 阅读: 8 | 收藏 | 玄武实验室每日安全 - seclists.org camel andrea injection cosentino attackers

使用tar.vim和特制tar文件可能存在的代码执行漏洞 Vim的tar.vim插件存在高危漏洞，允许通过特制tar文件执行代码。漏洞源于未验证输入的":read"命令。影响大但需用户主动打开恶意文件。已修复于v9.1.1164版本。... 2025-3-2 18:46:0 | 阅读: 2 | 收藏 | 玄武实验室每日安全 - seclists.org christian github security mar brabandt

GNU Emacs 30.1 发布，修复了两个 CVE 漏洞 文章讨论了Emacs中文件局部变量的安全性问题，特别是与`eval`和`mode`相关的潜在风险。作者建议禁用自动补全功能并设置`enable-local-eval`为`nil`来缓解风险，但指出这可能带来不便。此外，文章提到Emacs 30.1版本修复了两个CVE漏洞，并讨论了URL处理中的安全问题。... 2025-3-1 18:43:0 | 阅读: 0 | 收藏 | 玄武实验室每日安全 - seclists.org emacs nikulin lisp mar setq

GNU Emacs 30.1 发布带 2 个 CVE 修复 Emacs文件局部变量存在安全隐患，攻击者可利用自定义Lisp函数执行恶意代码。专家建议禁用自动补全和本地评估以缓解风险，但可能影响用户体验。... 2025-3-1 16:51:0 | 阅读: 3 | 收藏 | 玄武实验室每日安全 - seclists.org emacs mar nikulin ahlgren henrik

Xen安全通告467 v1 (CVE-2025-1713)：VT-d与旧PCI设备传递时的死锁风险 Xen安全漏洞CVE-2025-1713（XSA-467）可能导致VT-d和旧PCI设备传递时的死锁问题，影响Xen 4.0及以上版本和Intel IOMMU硬件系统。缓解方法是避免传递受影响设备类型。... 2025-2-28 02:45:0 | 阅读: 2 | 收藏 | 玄武实验室每日安全 - seclists.org xen security deadlock vt 1713

Xen安全公告467 v1 (CVE-2025-1713) - VT-d与旧PCI设备传递导致的死锁风险 Xen安全漏洞CVE-2025-1713导致VT-d与旧PCI设备传递时发生死锁，影响Xen 4.0及以上版本及Intel IOMMU系统。缓解措施包括避免传递受影响设备或禁用中断重映射，并提供补丁修复问题。... 2025-2-27 16:54:0 | 阅读: 7 | 收藏 | 玄武实验室每日安全 - seclists.org xen security deadlock vt teddy

SEC Consult SA-20250226-0 :: Multiple vulnerabilities in Siemens A8000 CP-8050 & CP-8031 PLC 西门子A8000系列PLC设备存在两个高危漏洞（CVE-2024-39601和CVE-2024-53832），分别涉及固件降级和通过安全元件解密更新文件。受影响版本为<05.40和<05.30。建议升级至V05.40或V05.30，并限制网络访问及物理接触以降低风险。... 2025-2-27 13:56:31 | 阅读: 4 | 收藏 | Full Disclosure - seclists.org siemens firmware plc spi security

Re: MitM attack against OpenSSH's VerifyHostKeyDNS-enabled client Qualys发现OpenSSH两个漏洞：启用VerifyHostKeyDNS的客户端易受中间人攻击，绕过身份验证；客户端和服务器易受拒绝服务攻击（内存和CPU消耗）。... 2025-2-27 13:56:2 | 阅读: 4 | 收藏 | Full Disclosure - seclists.org ssh client openssh sshkey sshbuf

Xen安全公告467（CVE-2025-1713）：VT-d和旧PCI设备透传中的死锁风险 Xen安全漏洞（CVE-2025-1713/XSA-467）可能导致VT-d和旧PCI设备传递时的死锁问题，影响Xen 4.0及以上版本及Intel VT-d系统。避免传递特定设备或应用补丁可修复此漏洞。... 2025-2-27 12:56:0 | 阅读: 5 | 收藏 | 玄武实验室每日安全 - seclists.org xen security deadlock xsa467 vt

MitM attack against OpenSSH's VerifyHostKeyDNS-enabled client Qualys披露OpenSSH两个漏洞：VerifyHostKeyDNS启用时易受中间人攻击，可绕过身份验证；预认证DoS攻击导致内存和CPU消耗过高。... 2025-2-21 04:27:53 | 阅读: 7 | 收藏 | Full Disclosure - seclists.org ssh client openssh sshkey sshbuf

Self Stored XSS - acp2sev7.2.2 文章描述了在acp2sev7.2.2版本中发现的一个自我存储型XSS漏洞。攻击者可通过在管理员名称字段中注入恶意代码（如`><svg onload=prompt(document.cookie)>`）触发漏洞，导致执行XSS攻击并获取cookie信息。... 2025-2-21 04:27:18 | 阅读: 7 | 收藏 | Full Disclosure - seclists.org php mul andrey stoykov muladmin

Python's official documentation contains textbook example of insecure code (XSS) Python官方文档中的CGI模块示例存在XSS漏洞，未对用户输入进行过滤或转义。该示例可能导致跨站脚本攻击，并被AI工具如ChatGPT和Deepseek生成类似不安全代码。CGI模块已弃用并移除，建议避免使用旧模块以减少风险。... 2025-2-21 04:16:4 | 阅读: 6 | 收藏 | Full Disclosure - seclists.org python georgi guninski textbook chatgpt

libxml2 中的多个漏洞 嗯，用户让我总结一下这篇文章的内容，控制在一百个字以内，而且不需要用“文章内容总结”之类的开头。直接写描述就行。 首先，我需要仔细阅读邮件内容。邮件来自Nick Wellnhofer，日期是2025年2月18日。他提到libxml2库修复了三个漏洞：CVE-2024-56171、CVE-2025-24928和一个未编号的... 2025-2-18 17:5:0 | 阅读: 4 | 收藏 | 玄武实验室每日安全 - seclists.org gnome libxml2 gitlab nick wellnhofer

Re: Netgear Router Administrative Web Interface Lacks Transport Encryption By Default Full Disclosuremailing list archivesFrom: Gynvael Coldwind <gynvael () coldwind... 2025-2-18 04:10:33 | 阅读: 5 | 收藏 | Full Disclosure - seclists.org coldwind gynvael netgear lacks

U-Boot 中的多个漏洞 这篇文章报告了U-Boot中的多个安全漏洞（包括整数溢出、堆栈溢出和堆损坏等），影响版本为<= 2024.10。攻击者可利用这些漏洞绕过信任链并执行代码。建议升级至v2025.01-rc1或更高版本以修复问题。... 2025-2-17 16:35:0 | 阅读: 3 | 收藏 | 玄武实验室每日安全 - seclists.org denx sigma squashfs overflow richard

Barebox中的多个漏洞 Barebox发现三个漏洞（CVE-2024-57260、CVE-2024-57261、CVE-2024-57363），影响旧版本，修复于v... 2025-2-17 16:32:0 | 阅读: 3 | 收藏 | 玄武实验室每日安全 - seclists.org barebox sigma pengutronix cgit

CVE-2025-1094：PostgreSQL 引擎中的 SQL 注入漏洞 PostgreSQL发布多个版本的安全更新（17.3、16.7等），修复1个SQL注入漏洞和70多个bug。该漏洞可能导致psql注入攻击。修复引入的回归问题将在2月20日的后续版本中解决。... 2025-2-16 18:44:0 | 阅读: 5 | 收藏 | 玄武实验室每日安全 - seclists.org quoting james solar injection 1094

[vim-security] heap use-after-free in str_to_reg() in Vim < Vim 9.1.1115前版本存在堆use-after-free漏洞，当使用`redir`命令将`:display`输出重定向至正在显示的寄存器时触发。影响中等，已修复。... 2025-2-16 15:15:0 | 阅读: 11 | 收藏 | 玄武实验室每日安全 - seclists.org 1115 clipboard github christian security

Monero 18.3.4 zero-day DoS vulnerability has been dropped publicly on social network. Monero零日漏洞被公开，攻击者利用内存耗尽技术通过Python代码对暴露RPC端口的节点发起DoS攻击，已导致8个公共节点和1个种子节点下线。... 2025-2-16 08:0:41 | 阅读: 9 | 收藏 | Full Disclosure - seclists.org monero network memory python

Netgear Router Administrative Web Interface Lacks Transport Encryption By Default Netgear C7800路由器固件6.01.07版本默认未启用传输加密，管理界面使用基本认证，用户名和密码以明文形式传输，易被窃取。... 2025-2-16 08:0:6 | 阅读: 9 | 收藏 | Full Disclosure - seclists.org netgear ryan delaney c7800