PlayReady Activation protocol issues (weak auth / fake client identities) PlayReady Activation协议存在身份验证漏洞，允许伪造客户端身份并生成有效证书，影响系统安全和许可证服务器访问。微软未修复此问题。... 2025-8-12 07:59:45 | 阅读: 7 | 收藏 | Full Disclosure - seclists.org playready microsoft security activation client

Defense in depth -- the Microsoft way (part 91): yet another 30 year old bug of the "Properties" shell extension 微软Windows系统中存在一个30年的漏洞，涉及文件属性显示功能：当用户缺乏“读取扩展属性”权限时，“Properties” shell扩展无法正确显示安全提示信息（如“此文件来自其他计算机”），尽管这并不影响数据流的读取。... 2025-8-5 03:7:24 | 阅读: 18 | 收藏 | Full Disclosure - seclists.org microsoft windows kanthak stefan

Rtpengine: RTP Inject and RTP Bleed vulnerabilities despite proper configuration (CVSS v4.0 Score: 9.3 / Critical) Rtpengine存在严重漏洞（CVSS 9.3），允许攻击者注入任意RTP包或重定向媒体流（RTP Inject/RTP Bleed），无需中间人。即使使用SRTP，在旧版本中也未正确验证认证标签。已发布修复版本mr13.4.1.1，并建议启用heuristic学习模式和strict source标志以缓解风险。... 2025-8-3 02:42:41 | 阅读: 30 | 收藏 | Full Disclosure - seclists.org inject rtp bleed rtpengine srtp

APPLE-SA-07-30-2025-1 Safari 18.6 苹果发布Safari 18.6安全更新修复多个漏洞，涉及libxml2、libxslt和WebKit组件，影响macOS Ventura和Sonoma系统。漏洞可能导致内存损坏、信息泄露或跨站脚本攻击等问题，并已向研究人员致谢。... 2025-8-3 02:41:48 | 阅读: 46 | 收藏 | Full Disclosure - seclists.org webkit bugzilla ventura sonoma security

Defense in depth -- the Microsoft way (part 90): "Digital Signature" property sheet missing without "Read Extended Attributes" access permission 微软NTFS文件系统自1993年起支持扩展属性，并于1994年加入访问控制功能。Authenticode技术用于对可执行文件等进行数字签名。Windows Explorer需“读取扩展属性”权限才能显示“数字签名”属性页，但该权限并非必要以读取文件数据或签名信息。... 2025-7-30 02:49:2 | 阅读: 22 | 收藏 | Full Disclosure - seclists.org windows microsoft stefan

St. Pölten UAS 20250721-0 | Multiple Vulnerabilities in Helmholz Industrial Router REX100 / mbNET.mini Helmholz工业路由器REX100和mbNET.mini设备存在多处高危漏洞，包括命令注入、拒绝服务、SQL注入、缓冲区溢出和XSS等。这些漏洞可能导致设备被远程控制或数据泄露。建议用户升级至最新版本2.3.3以修复问题。... 2025-7-30 02:48:59 | 阅读: 33 | 收藏 | Full Disclosure - seclists.org injection helmholz cloud attacker

APPLE-SA-07-29-2025-8 visionOS 2.6 Apple visionOS 2.6修复了多个安全漏洞，涉及内存损坏、权限提升及应用崩溃等问题，并提供了更新指导链接。... 2025-7-30 02:48:54 | 阅读: 44 | 收藏 | Full Disclosure - seclists.org webkit addressed memory maliciously security

APPLE-SA-07-29-2025-7 tvOS 18.6 tvOS 18.6修复了多个安全漏洞，包括内存处理问题、网络设置修改风险及恶意文件导致的内存腐败等。这些问题由多家安全团队发现并报告。... 2025-7-30 02:48:52 | 阅读: 41 | 收藏 | Full Disclosure - seclists.org hd webkit addressed memory maliciously

APPLE-SA-07-29-2025-6 watchOS 11.6 苹果发布watchOS 11.6更新，修复多个安全漏洞，包括应用崩溃、内存泄露及权限绕过风险，并致谢研究人员贡献。... 2025-7-30 02:48:49 | 阅读: 39 | 收藏 | Full Disclosure - seclists.org webkit addressed memory maliciously security

APPLE-SA-07-29-2025-5 macOS Ventura 13.7.7 苹果发布macOS Ventura 13.7.7更新，修复多个安全漏洞，涉及权限提升、数据泄露、拒绝服务等问题，并提供改进验证、内存处理等修复措施。... 2025-7-30 02:48:47 | 阅读: 83 | 收藏 | Full Disclosure - seclists.org ventura addressed termination security patch1t

APPLE-SA-07-29-2025-4 macOS Sonoma 14.7.7 苹果发布macOS Sonoma 14.7.7安全更新，修复了多个漏洞，包括权限提升、拒绝服务、数据泄露等问题。更新改进了组件验证、内存处理和逻辑限制，并增加了对恶意应用的防护措施。... 2025-7-30 02:48:45 | 阅读: 65 | 收藏 | Full Disclosure - seclists.org sonoma addressed mickey jin patch1t

APPLE-SA-07-29-2025-3 macOS Sequoia 15.6 macOS Sequoia 15.6修复了多个安全漏洞，包括权限问题、内存错误、逻辑漏洞等，涉及CoreMedia、WebKit等多个组件，并改进了输入验证和内存处理。部分漏洞由研究人员发现并协助修复。更新可通过Mac App Store或Apple官网获取。... 2025-7-30 02:48:42 | 阅读: 44 | 收藏 | Full Disclosure - seclists.org sequoia addressed memory webkit maliciously

APPLE-SA-07-29-2025-2 iPadOS 17.7.9 Apple发布iPadOS 17.7.9安全更新，修复了多个漏洞，包括隐私指示显示错误、恶意文件导致应用终止、敏感数据泄露等问题。该更新适用于部分iPad型号，并通过iTunes和软件更新提供。建议用户尽快安装以提升设备安全性。... 2025-7-30 02:48:40 | 阅读: 20 | 收藏 | Full Disclosure - seclists.org inch 6th 2nd addressed security

APPLE-SA-07-29-2025-1 iOS 18.6 and iPadOS 18.6 苹果发布iOS 18.6和iPadOS 18.6安全更新，修复了多个漏洞，包括隐私泄露、应用崩溃和内存错误等问题。... 2025-7-30 02:48:37 | 阅读: 20 | 收藏 | Full Disclosure - seclists.org inch 3rd 7th 5th xs

Invision Community <= 4.7.20 (calendar/view.php) SQL Injection Vulnerability Invision Community 4.x 版本存在 SQL 注入漏洞（CVE-2025-48932），位于 `calendar/view.php` 文件中 `search()` 方法的 `location` 参数处理处。该漏洞可被远程未认证攻击者利用，导致敏感数据泄露或其他严重后果。受影响版本为 4.7.20 及以下，建议升级至 4.7.21 或更高版本以修复此问题。... 2025-7-30 02:48:35 | 阅读: 2 | 收藏 | Full Disclosure - seclists.org injection php invision egidio romano

CVE‑2025‑52187 – Stored XSS in School Management System (PHP/MySQL) CVE-2025-52187披露了一款开源学校管理系统中的存储型XSS漏洞。该漏洞源于未对用户输入进行充分过滤和转义，在渲染时可执行恶意脚本，导致会话劫持、数据泄露等风险。建议采用htmlspecialchars()函数转义输入，并实施严格的内容安全策略以缓解风险。... 2025-7-30 02:48:33 | 阅读: 0 | 收藏 | Full Disclosure - seclists.org php sanjay 52187 singh sanjay70023

Invision Community <= 5.0.7 (oauth/callback) Reflected Cross-Site Scripting Vulnerability Invision Community版本4.x和5.x存在反射型XSS漏洞，攻击者通过操控"state"参数注入恶意脚本。已发布补丁至4.7.21和5.0.8修复此问题。... 2025-7-30 02:48:30 | 阅读: 1 | 收藏 | Full Disclosure - seclists.org romano egidio exploited php mailing

Re: Multiple vulnerabilities in the web management interface of Intelbras routers Intelbras RX 1500 和 RX 3000 路由器的Web管理界面存在多个安全漏洞，包括跨站脚本（XSS）攻击和未认证访问问题。这些漏洞可能允许攻击者获取管理员会话令牌、下载日志文件和配置文件，并修改路由器设置。修复建议包括对输入数据进行HTML实体转换和加强服务器端权限验证。... 2025-7-30 02:48:28 | 阅读: 3 | 收藏 | Full Disclosure - seclists.org hnap1 envelope network

Stored XSS "Edit General Info" Functionality - seotoasterv2.5.0 文章报告了Seotoaster v2.5.0中的Stored XSS漏洞，允许攻击者通过"Edit General Info"功能注入恶意脚本。作者提供了详细的利用步骤和HTTP请求响应示例。... 2025-7-30 02:48:25 | 阅读: 12 | 收藏 | Full Disclosure - seclists.org jul perl andrey stoykov

Stored XSS "Create Page" Functionality - seotoasterv2.5.0 Seotoaster v2.5.0 存储型 XSS 漏洞存在于“创建页面”功能中。攻击者通过在“元描述”字段注入恶意脚本（如 `<img src=x onerror=alert(1)>`），可在目标页面加载时触发跨站脚本攻击。... 2025-7-30 02:48:23 | 阅读: 12 | 收藏 | Full Disclosure - seclists.org test3 jul perl stoykov andrey