影响厂商:MTN Group(https://hackerone.com/mtn_group) 
在 http://nextapps.mtnonline.com/search/suggest/q/上的 XSS

影响厂商:MTN Group(https://hackerone.com/mtn_group) 
通过所有参数在 videostore.mtnonline.com/gl/*.aspx 的 XSS

影响厂商:Khan Academy 奖励: 危险等级:high
枚举类代码通过雅虎书呆子-可以访问任何课程下教师敏感信息泄漏

影响厂商:Nextcloud 奖励:200.0USD 危险等级:low
客户端绕过最新版本3.18.1中的保护锁。

影响厂商:8x8 奖励: 危险等级:critical
将 AWS 凭证硬编码到了“风云人物”“风云人物”“风云人物”中

影响厂商:Automattic 奖励: 危险等级:medium
由于 sockjs 的脆弱版本而反映的 XSS

影响厂商:8x8(https://hackerone.com/8x8) 
在.msi 中硬编码 AWS 凭据

影响厂商:U.S. Dept Of Defense 奖励: 危险等级:high
在 filePathDownload 参数中使用 lfi

影响厂商:U.S. Dept Of Defense(https://hackerone.com/deptofdefense) 
反映 XSS []

影响厂商:U.S. Dept Of Defense(https://hackerone.com/deptofdefense) 
反映 XSS []

影响厂商:U.S. Dept Of Defense(https://hackerone.com/deptofdefense) 
在 filePathDownload 参数通过

影响厂商:U.S. Dept Of Defense(https://hackerone.com/deptofdefense) 
通过/secure/QueryComponent! Default.jspa 端点进行敏感数据公开

影响厂商:U.S. Dept Of Defense(https://hackerone.com/deptofdefense) 
社会保障基金由于 cve-2021-27905在 www。

影响厂商:U.S. Dept Of Defense(https://hackerone.com/deptofdefense) 
易受 cve-2022-22954影响

影响厂商:U.S. Dept Of Defense(https://hackerone.com/deptofdefense) 
盲目的 SQL 注入

影响厂商:U.S. Dept Of Defense(https://hackerone.com/deptofdefense) 
Https:///中的 SQL INJECTION

影响厂商:Nextcloud(https://hackerone.com/nextcloud) 
强制管理员安装推荐的应用程序的可能性

影响厂商:Internet Bug Bounty 奖励: 危险等级:medium
Oauth2承载人未经连接重用检查

影响厂商:curl(https://hackerone.com/curl) 
CVE-2022-22576: 连接再利用中的 oauth2承载旁路

影响厂商:Mattermost(https://hackerone.com/mattermost) 
通过大型控制台消息的 DoS

影响厂商:Internet Bug Bounty 奖励:480.0USD 危险等级:low
CVE-2022-27776: 重定向时 Auth/cookie 泄漏

影响厂商:Internet Bug Bounty 奖励:480.0USD 危险等级:low
CVE-2022-27775: 本地 ipv6连接重用问题

影响厂商:Internet Bug Bounty 奖励:2400.0USD 危险等级:medium
CVE-2022-27774: 重定向证书泄漏

影响厂商:8x8 奖励: 危险等级:medium
子域名接管(废弃的 Zendesk.  easycontactnow.com )

影响厂商:8x8(https://hackerone.com/8x8) 
子域名接管(废弃的 Zendesk.  easycontactnow.com )

影响厂商:GitLab(https://hackerone.com/gitlab) 
公共 GitLab CI 运动员的集装箱逃逸

影响厂商:curl 奖励: 危险等级:medium
CVE-2022-27776: 重定向时 Auth/cookie 泄漏

影响厂商:curl 奖励: 危险等级:low
CVE-2022-27775: 本地 ipv6连接重用问题

影响厂商:curl(https://hackerone.com/curl) 
CVE-2022-27774: 重定向证书泄漏

影响厂商:Tennessee Valley Authority 奖励: 危险等级:critical
通过“/api/”path-vi-21-015在 https://soa-accp.glbx.tva.gov/上进行 SQL 注入

影响厂商:Judge.me  奖励: 危险等级:medium
存储 XSS 在“产品类型”字段通过产品过滤器执行

影响厂商:Basecamp 奖励:100.0USD 危险等级:low
通过 jabber.37signals.com/jabber.basecamp.com 公开的 JMX 服务器进行 RCE

影响厂商:Nutanix(https://hackerone.com/nutanix) 
通过上海社会保障基金披露当地文件在 next.nutanix.com

影响厂商:Krisp 奖励: 危险等级:low
强制用户接受攻击者的邀请[限制用户创建帐户]

影响厂商:Krisp(https://hackerone.com/krisp) 
文件

影响厂商:Shopify 奖励:2900.0USD 危险等级:medium
Your-store.myshopify.com/myshopify.com/admin/apps/shopify-email/editor/**** 触发的 x/s

影响厂商:curl(https://hackerone.com/curl) 
比较灾难

影响厂商:curl(https://hackerone.com/curl) 
如果字符串不是32个字符，则绕过 CURLOPT _ ssh _ host _ public _ key _ md5

影响厂商:curl(https://hackerone.com/curl) 
-- 通过 trigraphs 注入 libcurl 代码

影响厂商:Internet Bug Bounty 奖励:480.0USD 危险等级:low
渲染器可以获得访问随机蓝牙设备没有许可

影响厂商:Kubernetes 奖励:500.0USD 危险等级:medium
攻击者可以绕过建立在入口外部认证(‘ nginx.ingress.kubernetes.io/auth-url’)上的身份验证

影响厂商:Shopify 奖励:900.0USD 危险等级:low
1370749

影响厂商:Shopify(https://hackerone.com/shopify) 
更改了店面密码后，预览链接仍然有效

影响厂商:BlackRock 奖励: 危险等级:low
通过 URL 中的 redirectUri 参数打开重定向

影响厂商:Shopify 奖励:1900.0USD 危险等级:medium
[ h1-2102][附加]拥有商店管理权限的用户可以改变商店管理状态——这应该仅限于用户管理

影响厂商:Shopify(https://hackerone.com/shopify) 
[ h1-2102][ Plus ]具有存储管理权限的用户可以从 saml/convertUsersToSaml 生成 convertUsersFromSaml ——这应该仅限于用户管理

影响厂商:Shopify(https://hackerone.com/shopify) 
[ h1-2102][ PLUS ]具有存储管理权限的用户可以进行执行/organizationdomain 调用——这应该仅限于用户管理

影响厂商:Shopify 奖励:600.0USD 危险等级:low
没有开发应用权限的用户可以卸载自定义应用

影响厂商:Shopify(https://hackerone.com/shopify) 
[ h 1-2102]在 https://shopify.plus//用户/api 操作 UpdateOrganizationUserRole 中不正当的访问控制

影响厂商:Shopify(https://hackerone.com/shopify) 
同样的网址

影响厂商:curl(https://hackerone.com/curl) 
当 -k 文件无法读取时，curl 继续处理不安全连接

影响厂商:Zivver 奖励: 危险等级:low
时间差暴露了帐户的存在

影响厂商:U.S. Dept Of Defense 奖励: 危险等级:critical
易受 cve-2022-22954影响的

影响厂商:U.S. Dept Of Defense 奖励: 危险等级:high
由于缺少速率限制，在忘记密码的情况下接管了整个账户

影响厂商:U.S. Dept Of Defense(https://hackerone.com/deptofdefense) 
打开 Akamai arlxss

影响厂商:U.S. Dept Of Defense(https://hackerone.com/deptofdefense) 
由于缺少速率限制，忘记密码，全部帐户被接管

影响厂商:U.S. Dept Of Defense(https://hackerone.com/deptofdefense) 
易受 cve-2022-22954影响

影响厂商:U.S. Dept Of Defense(https://hackerone.com/deptofdefense) 
CORS 配置错误

影响厂商:Evernote(https://hackerone.com/evernote) 
反映 XSS 在 https://evernote.com 的共享注释视图

影响厂商:Mattermost 奖励:150.0USD 危险等级:low
邀请电子邮件在取消未决的电子邮件邀请后作为提醒重发