Cybersecurity information flow

干净的信息流推送工具,偏向安全圈的点点滴滴,为安全研究人员每日发现优质内容.

了解更多 »

全部节点
时间 节点
2024年5月25日 11:32 hackone
影响厂商:TikTok 奖励: 危险等级:high
" 林猫视角(Lynxview)JS接口:通过深度链接遍历实现接管"
2024年5月25日 11:32 hackone
影响厂商:b'TikTok'(https://hackerone.com/tiktok) 
" “ Lynxview JS接口:通过深度链接遍历实现接管”"
2024年5月25日 05:32 hackone
影响厂商:Teleport 奖励:10000.0USD 危险等级:high
" 在区域参数中的SSRF,可能导致AWS Teleport角色AWS账户被接管。"
2024年5月25日 05:32 hackone
影响厂商:b'Teleport'(https://hackerone.com/teleport) 
" \"区域参数中的SSRF导致AWS Teleport角色AWS账户被接管\""
2024年5月25日 00:13 hackone
影响厂商:HackerOne 奖励: 危险等级:medium
" 不足的编辑暴露了通过“ShareReportViaEmail” GraphQL端点敏感信息的风险。"
2024年5月25日 00:13 hackone
影响厂商:Internet Bug Bounty 奖励: 危险等级:low
" [CVE-2024-26146] 解析头文件可能导致潜在的服务拒绝漏洞"
2024年5月25日 00:13 hackone
影响厂商:b'Internet Bug Bounty'(https://hackerone.com/ibb) 
" [CVE-2024-26146] 解析头文件可能导致潜在的拒绝服务漏洞"
2024年5月25日 00:13 hackone
影响厂商:b'HackerOne'(https://hackerone.com/security) 
" 不良的编辑暴露了通过“ShareReportViaEmail” GraphQL端点发布的敏感信息。"
2024年5月24日 06:13 hackone
影响厂商:HackerOne 奖励: 危险等级:critical
" 不安全直接对象引用(IDOR)允许通过/bugs.json端点查看私密报告细节"
2024年5月24日 06:13 hackone
影响厂商:b'HackerOne'(https://hackerone.com/security) 
" 不安全的直接对象引用(IDOR)允许通过“/bugs.json”端点查看私密报告细节。"
2024年5月23日 18:13 hackone
影响厂商:Internet Bug Bounty 奖励: 危险等级:low
" [CVE-2024-26142] Action Dispatch 中 Accept 头部解析中的 ReDoS 漏洞"
2024年5月23日 06:13 hackone
影响厂商:Internet Bug Bounty 奖励: 危险等级:low
" [CVE-2024-25126]  rack 内容类型解析中的拒绝服务漏洞"
2024年5月23日 06:13 hackone
影响厂商:b'Internet Bug Bounty'(https://hackerone.com/ibb) 
" [CVE-2024-26142] 行动分发器中 Accept 头部解析中的 ReDoS 漏洞"
2024年5月23日 06:13 hackone
影响厂商:b'Internet Bug Bounty'(https://hackerone.com/ibb) 
" [CVE-2024-25126] Rack内容类型解析中的拒绝服务漏洞"
2024年5月23日 02:13 hackone
影响厂商:HackerOne 奖励: 危险等级:medium
" 能够使用沙盒为自己创建 testimonials(见证)"
2024年5月23日 02:13 hackone
影响厂商:Doppler 奖励: 危险等级:low
" 页面“https://docs.doppler.com/docs/removal-deprecated-packages-scripts”上列出的关于跳转链接的获取,在[安排通话]中。\n\n(注:此处翻译采用了意译,将原文的句子结构进行了调整,以使译文更符合中文表达习惯。)"
2024年5月23日 02:13 hackone
影响厂商:b'Doppler'(https://hackerone.com/doppler) 
" 页面“https://docs.doppler.com/docs/removal-deprecated-packages-scripts”上列出的关于获取失效链接的内容[安排通话]。\n\n【翻译说明】:信:忠实于原文,不添不减;达:表达流畅,符合中文语言习惯;雅:符合语境,表达得体。"
2024年5月23日 02:13 hackone
影响厂商:b'HackerOne'(https://hackerone.com/security) 
" “能够使用沙盒为自己创建 testimonials(见证)”"
2024年5月22日 20:13 hackone
影响厂商:Nextcloud 奖励: 危险等级:medium
" 弱SSH算法和CVE-2023-48795在nextcloud.com的各个子域中发现。\n\n翻译说明:首先将英文短语转换为对应的中文,保持原意;其次,将发现的场景(nextcloud.com的各个子域)和发现的时间(CVE-2023-48795)等信息加入到翻译结果中,使翻译更加准确。"
2024年5月22日 20:13 hackone
影响厂商:b'Nextcloud'(https://hackerone.com/nextcloud) 
" “弱SSH算法和CVE-2023-48795在nextcloud.com的各个子域名上被发现。”"
2024年5月21日 07:32 hackone
影响厂商:Automattic 奖励: 危险等级:medium
" 新闻打包扩展访问中的身份验证和注册绕过"
2024年5月21日 07:32 hackone
影响厂商:b'Automattic'(https://hackerone.com/automattic) 
" “新闻打包扩展访问中的身份验证和注册绕过”"
2024年5月20日 19:32 hackone
影响厂商:PortSwigger Web Security 奖励: 危险等级:low
" 通过管理控制台更改管理员密码不会使其他会话失效。"
2024年5月20日 19:32 hackone
影响厂商:PortSwigger Web Security 奖励: 危险等级:low
" 具有仅[MODIFY_SETTINGS]权限的用户可以接管任何用户账户。\n\n(注:此处翻译为简洁明了的表述,如需更加雅致的表达,可以稍作调整。)"
2024年5月20日 19:32 hackone
影响厂商:b'PortSwigger Web Security'(https://hackerone.com/portswigger) 
" 一个仅具有[MODIFY_SETTINGS]权限的用户可以接管任何用户账户。"
2024年5月20日 19:32 hackone
影响厂商:b'PortSwigger Web Security'(https://hackerone.com/portswigger) 
" 通过管理员控制台更改管理员密码不会使其他会话失效。"
2024年5月16日 09:33 hackone
影响厂商:Yahoo! 奖励: 危险等级:None
" 在“ymon”Web服务中执行代码,通过绕过YQL和HTTP重定向的反环回黑名单后达到。"
2024年5月16日 09:33 hackone
影响厂商:Yahoo! 奖励: 危险等级:None
" 通过XSLT文档()在YQL后端服务器上读取任意XML文件"
2024年5月16日 09:33 hackone
影响厂商:Yahoo! 奖励: 危险等级:None
" YQL:从CR/LF注入到根权限泄露"
2024年5月16日 09:33 hackone
影响厂商:Yahoo! 奖励: 危险等级:None
" 通过XSLT未解析实体URI(unparsed-entity-uri)和参数实体在YQL后端服务器上读取任意ASCII文件"