SecEvery - Vulnerability Warning
2025-10-21
该漏洞源于 SecurityFilter 对请求URI处理不当,攻击者可通过添加参数 ;.wadl 绕过身份验证,然后利用Groovy脚本在处理器编译时执行任意代码,从而获取服务器权限。
2025-11-18
Fortinet FortiWeb是一款由Fortinet公司开发的网络应用防火墙,用于保护Web应用免受攻击。受影响的版本包括FortiWeb 8.0.0至8.0.1、7.6.0至7.6.5、7.4.0至7.4.10、7.2.0至7.2.11、7.0.0至7.0.11。该漏洞是由于系统未能正确中和OS命令中的特殊元素,导致经过身份验证的攻击者可以通过精心构造的HTTP请求或CLI命令在底层系统上执行未授权的代码。
2025-11-09
该漏洞源于 portal\_login、/protocol/session 等接口对请求参数校验不严,存在命令注入漏洞。未经身份验证的攻击者可利用此漏洞执行任意系统命令,最终获取服务器控制权限。
2025-11-14
AstrBot 是 AstrBotDevs 开发的一款开源大型语言模型聊天机器人及开发框架,支持多平台部署和插件扩展。 该漏洞源于 AstrBot 使用了固定的 JWT 签名密钥,攻击者可利用该密钥伪造任意有效的 JWT 认证令牌,完全绕过身份验证机制。成功绕过认证后,攻击者可访问插件管理接口,通过上传恶意的 Python 插件文件实现远程代码执行。
2025-11-14
该漏洞源于 fwbcgi 组件完全信任请求中 HTTP\_CGIINFO 的用户身份信息,而未能进行有效的身份验证。攻击者通过构造特定的请求冒充管理员用户执行恶意操作,从而获得设备的完全控制权。