SecEvery - Vulnerability Warning
2025-04-27
Moodle是Moodle开源的一套免费的电子学习软件平台,也称课程管理系统、学习管理系统或虚拟学习环境。 Moodle存在安全漏洞,该漏洞源于允许黑客获取学生敏感信息并阻止其登录账户,即使已完成双因素认证。
2025-04-25
CVE\-2025\-31324中,SAP NetWeaver Visual Composer Metadata Uploader 存在未授权漏洞,攻击者可构造恶意请求触发反序列化写入恶意文件,执行任意代码,控制服务器。
2025-04-25
Craft 是一款灵活且用户友好的内容管理系统 \(CMS\),用于在网页及其他平台上打造定制化的数字体验。从 3.0.0\-RC1 版本到 3.9.15 之前的版本、4.0.0\-RC1 版本到 4.14.15 之前的版本以及 5.0.0\-RC1 版本到 5.6.17 之前的版本,Craft 都存在远程代码执行漏洞。这是一种高影响、低复杂度的攻击向量。该漏洞已在 3.9.15、4.14.15 和 5.6.17 版本中得到修复,并且是对 CVE\-2023\-41892 的额外修复。
2025-04-25
Dify是一款开源的大语言模型(LLM)应用开发平台,其旧版本/forgot\-password/resets接口存在任意用户密码重置漏洞,未经授权的远程攻击者可以重置已获取邮箱地址的用户的密码,包括管理员账号,可能导致Dify被攻击者完全控制。
2025-04-25
逻辑漏洞是指应用程序中存在的安全缺陷,它允许未经授权的用户通过非正常途径访问或操作系统资源,导致敏感信息泄露、数据篡改、服务中断等安全问题。这类漏洞通常是由于程序设计不当、权限控制不严、输入验证不足或业务逻辑错误引起的。