Raydium CP Swap: Unchecked Account Allows Creator Fee Hijacking 好的，我现在需要帮用户总结一篇英文文章的内容，控制在100字以内。首先，我得仔细阅读用户提供的邮件内容，理解其中的主要信息。 邮件的开头是发件人LRKTBEYK报告了漏洞，但被ImmuneFi关闭，认为“范围之外”。接着，发件人提到这些漏洞允许费用盗窃、创作者费用劫持和潜在的用户利用，特别是问题#3允许攻击者通过UncheckedAccount验证漏洞窃取创作者费用。最后，发件人提供了自己的钱包地址，并祝大家节日快乐。 接下来，我需要将这些信息浓缩到100字以内。要抓住关键点：漏洞报告被拒、漏洞导致的后果、具体的问题描述以及发件人的联系方式。 可能的结构是：发件人报告漏洞被拒，导致费用盗窃和创作者费用劫持，问题#3允许攻击者窃取费用，并提供钱包地址。 现在，组织语言：用户希望总结内容直接描述文章内容，不需要特定开头。所以直接写关键点即可。 最后检查字数是否在限制内，并确保信息准确传达。 </think> 发件人报告了Raydium CP Swap中的漏洞未被ImmuneFi采纳后公开披露,指出这些漏洞可能导致费用盗窃、创作者费劫持等问题,其中问题#3允许攻击者通过UncheckedAccount验证漏洞窃取池创作者费用。... 2025-12-18 06:52:12 | 阅读: 17 | 收藏 | Full Disclosure - seclists.org lrktbeyk fee creator raydium mailing

[CFP] Security BSidesLjubljana 0x7EA | March 13, 2026 好的，我现在需要帮用户总结一下这篇文章的内容，控制在100字以内，而且不需要特定的开头。首先，我得仔细阅读文章内容，找出关键信息。 这篇文章看起来是一个会议的征集论文通知。会议名称是BSidesLjubljana，日期是2026年3月13日，地点在斯洛文尼亚卢布尔雅那的计算机历史博物馆。他们正在征集演讲、工作坊和闪电演讲的提案。 接下来，主题包括进攻性和防御性技术、漏洞挖掘与修复、事件处理、取证、虚拟化和云安全、企业安全、加密技术、AI/ML应用、嵌入式硬件 hacking、应用和移动安全、网络通信、社会工程学以及网络空间治理等。这些内容都是会议感兴趣的主题。 然后，投稿截止日期是2026年1月25日，投稿链接有两个：https://0x7ea.bsidesljubljana.si/cfp 和 https://cfp.bsidesljubljana.si。会议还提供了多种参与格式，包括40分钟演讲、20分钟演讲、工作坊和7分钟的闪电演讲。 另外，会议还提到了赞助机会，并提供了联系方式和链接。语言要求是英语，并且不接受营销或非技术性的商业论文。 总结一下，我需要将这些关键点浓缩到100字以内。要确保涵盖会议名称、日期地点、征集内容、主题范围以及投稿截止日期和方式。 可能会这样组织：BSidesLjubljana 2026年3月13日在卢布尔雅那举办，征集安全相关主题的演讲和工作坊提案，主题包括进攻防御技术、漏洞修复等。投稿截止日期是2026年1月25日，通过指定链接提交。 这样既涵盖了主要信息又控制了字数。 </think> BSidesLjubljana将于2026年3月13日在斯洛文尼亚卢布尔雅那举办，征集安全相关主题的演讲和工作坊提案。主题涵盖进攻防御技术、漏洞修复等。投稿截止日期为2026年1月25日，通过指定链接提交。... 2025-12-18 06:51:18 | 阅读: 27 | 收藏 | Full Disclosure - seclists.org cfp 0x7ea 2026 talks

Dropbear 通过 Unix 域套接字转发的权限提升漏洞 (CVE-2025-14282) 好的，我现在需要帮用户总结一篇关于Dropbear SSH服务器漏洞的文章，控制在100字以内。首先，我得通读整篇文章，抓住主要信息。 文章提到Dropbear在多用户模式下处理socket转发时以root权限运行，这在使用Unix域套接字后变得更严重。攻击者可以利用这一点绕过文件系统限制和SO_PEERCRED检查，从而获取root权限。作者还提供了一个示例，展示了如何通过SSH连接到Unix套接字并执行恶意操作。 接下来，作者提出了临时修复措施，比如禁用默认的转发功能，并建议真正的修复是尽早切换到登录用户的权限，避免使用root进行操作。此外，文章还讨论了其他可能的滥用方式，比如X11认证被绕过的情况。 总结一下，文章的核心内容是Dropbear中的一个严重漏洞，允许普通用户通过Unix域套接字转发提升权限到root。因此，在总结时需要涵盖漏洞的影响、攻击方式以及修复建议。 现在我要把这些信息浓缩到100字以内。确保包括关键点：漏洞名称（CVE-2025-14282）、问题描述、攻击方法、影响以及修复措施。 最终的总结应该是简洁明了的，让读者快速了解问题所在和解决方案。 </think> Dropbear SSH服务器存在严重漏洞（CVE-2025-14282），允许普通用户通过Unix域套接字转发提升权限至root。攻击者可利用此漏洞绕过文件系统限制和SO_PEERCRED检查，获取root shell或执行恶意操作。临时修复包括禁用默认转发功能；真正的修复需尽早切换至登录用户权限。此漏洞影响深远，需尽快处理以避免潜在风险。... 2025-12-16 16:16:0 | 阅读: 12 | 收藏 | 玄武实验室每日安全 - seclists.org dropbear trixie vt forwardings ssh

[KIS-2025-08] 1C-Bitrix <= 25.100.500 (Translate Module) Remote Code Execution Vulnerability 1C-Bitrix Translate Module 存在远程代码执行漏洞，影响版本 25.100.500 及以下。攻击者可上传恶意档案文件，在提取时注入并执行 PHP 代码，需特定权限。已公开 CVE-2025-67887。... 2025-12-16 05:19:59 | 阅读: 34 | 收藏 | Full Disclosure - seclists.org translate bitrix romano php egidio

[KIS-2025-07] Bitrix24 <= 25.100.300 (Translate Module) Remote Code Execution Vulnerability 嗯，用户发来了一段英文邮件，看起来是一个安全漏洞的公告。他让我用中文帮他总结一下内容，控制在一百个字以内，而且不需要用“文章内容总结”之类的开头，直接写描述。 首先，我需要快速浏览邮件内容。邮件标题是“Full Disclosure”，里面提到了Bitrix24软件的漏洞。受影响的版本是25.100.300及之前版本。漏洞位于“Translate Module”，允许上传和提取档案文件到临时目录，但没有正确验证内容，导致远程代码执行。 攻击者需要有特定权限的账户才能利用这个漏洞。已经有一个PoC链接和CVE编号CVE-2025-67886。厂商尚未提供解决方案。 接下来，我需要将这些信息浓缩到100字以内。重点包括：软件名称、漏洞模块、影响版本、漏洞类型（远程代码执行）、攻击条件、CVE编号以及厂商未修复的情况。 要注意语言简洁明了，避免使用复杂的术语，让读者一目了然。 </think> Bitrix24 <= 25.100.300 的“Translate Module”存在远程代码执行漏洞，允许恶意用户上传并执行任意PHP代码。该漏洞影响版本25.100.300及以下，需特定权限账户利用。目前无官方修复方案。... 2025-12-16 05:19:57 | 阅读: 26 | 收藏 | Full Disclosure - seclists.org translate romano php egidio bitrix24

nopCommerce 4.90.0 is vulnerable to Cross Site Request Forgery (CSRF) via the Schedule Tasks functionality 好的，用户让我帮忙总结一篇文章的内容，控制在100字以内，并且不需要特定的开头。我先看看文章内容。 这篇文章提到的是nopCommerce 4.90.0版本存在CSRF漏洞，具体是在“Run now”按钮的计划任务功能中。攻击者可以利用这个漏洞在未经用户同意的情况下运行任务。CVE编号是CVE-2025-65593，发现者是AlterSec/PenTest.NZ。 接下来，我需要将这些信息浓缩到100字以内。重点包括：软件名称、版本、漏洞类型、影响、CVE编号和发现者。 然后，组织语言，确保简洁明了，直接描述内容，不使用“文章总结”之类的开头。 最后检查字数，确保不超过限制。 </think> nopCommerce 4.90.0版本中发现Cross-Site Request Forgery (CSRF)漏洞，攻击者可利用"Run now"按钮在计划任务功能中未经用户同意运行任务。该漏洞已分配CVE编号CVE-2025-65593，由AlterSec/PenTest.NZ发现。... 2025-12-16 05:19:14 | 阅读: 25 | 收藏 | Full Disclosure - seclists.org mailing seclists onur tezcan

nopCommerce 4.90.0 is vulnerable to Cross Site Scripting (XSS) in the product management functionality 好的，我现在要帮用户总结一篇文章的内容，控制在100字以内。首先，我需要仔细阅读用户提供的文章内容。 文章标题是“Full Disclosure”，看起来是一个安全邮件列表的存档。内容主要关于nopCommerce 4.90.0版本的一个漏洞。作者Onur Tezcan提到发现了多个存储型跨站脚本（Stored XSS）漏洞，具体是在产品管理功能中的“Product Name”和“Short Description”字段。恶意JavaScript会被存储在后端数据库，并在用户查看相关页面时自动执行。这些漏洞被分配了CVE-2025-65592，发现者是AlterSec t/a PenTest.NZ。 接下来，我需要将这些信息浓缩到100字以内，同时避免使用像“文章内容总结”这样的开头。我应该直接描述漏洞的情况，包括受影响的软件版本、漏洞类型、影响范围以及CVE编号。 可能的结构是：软件名称+版本+漏洞类型+具体字段+影响范围+CVE编号。这样既简洁又全面。 检查一下字数是否符合要求，确保不超过100字。最后，确保语言准确无误，没有遗漏关键信息。 </think> nopCommerce 4.90.0 存在存储型跨站脚本（Stored XSS）漏洞，恶意JavaScript可注入"Product Name"和"Short Description"字段并在用户访问时执行。已分配CVE-2025-65592。... 2025-12-16 05:19:12 | 阅读: 24 | 收藏 | Full Disclosure - seclists.org mailing seclists tezcan onur

nopCommerce 4.90.0 is vulnerable to Cross Site Scripting (XSS) via the Currencies functionality. 嗯，用户让我帮忙总结一下这篇文章的内容，控制在一百个字以内。首先，我需要仔细阅读文章内容，找出关键信息。 文章标题是“Full Disclosure”，看起来是一个安全邮件列表的存档。发件人是Onur Tezcan，日期是2025年12月12日。内容主要讨论了一个安全漏洞，具体来说是一个存储型XSS漏洞。 漏洞出现在nopCommerce 4.90.0版本的“Currencies”功能中，特别是在“Custom formatting”输入字段。攻击者可以利用这个漏洞在保存payload后触发XSS攻击。触发页面包括Bestsellers、Sales > Orders以及通过商店应用查看产品时。 文章还提到了CVE编号是CVE-2025-65591，发现者是AlterSec t/a PenTest.NZ。 接下来，我需要将这些信息浓缩到100字以内。重点包括：nopCommerce 4.90.0版本存在XSS漏洞，位置在Currencies的Custom formatting字段，触发页面有多个，并且有CVE编号和发现者信息。 最后，确保语言简洁明了，不使用复杂的术语，直接描述漏洞情况。 </think> nopCommerce 4.90.0 存在 XSS 漏洞，源于 "Currencies" 功能中的 "Custom formatting" 输入字段。攻击者可利用此漏洞在 Bestsellers、Sales > Orders 页面及产品详情页触发脚本执行。该漏洞已分配 CVE-2025-65591 编号，由 AlterSec t/a PenTest.NZ 发现。... 2025-12-16 05:19:10 | 阅读: 16 | 收藏 | Full Disclosure - seclists.org currencies tezcan mailing seclists

nopCommerce 4.90.0 is vulnerable to Cross Site Scripting (XSS) via the Blog posts functionality in the Content Management area 嗯，用户让我帮忙总结一篇文章的内容，控制在100字以内，而且不需要用“文章内容总结”之类的开头。看起来用户可能需要一个简洁明了的摘要，可能是为了快速了解文章内容或者分享给他人。 首先，我需要仔细阅读用户提供的文章内容。这篇文章来自Full Disclosure邮件列表，是关于nopCommerce 4.90.0的一个漏洞。漏洞类型是Stored XSS，出现在内容管理下的博客文章部分。攻击者可以在博客正文的概述字段中添加恶意HTML/JavaScript代码，这些代码会被存储在后端，并在访问博客页面时执行。 然后，文章提到了CVE编号是CVE-2025-65590，发现者是AlterSec t/a PenTest.NZ。这些信息都很重要，应该包含在摘要中。 接下来，我需要将这些关键点浓缩到100字以内。要确保涵盖漏洞类型、位置、影响以及CVE编号和发现者。同时，语言要简洁明了，避免使用复杂的术语。 可能的结构是：产品名称+版本+漏洞类型+具体位置+影响+CVE编号+发现者。这样既全面又简洁。 最后，检查字数是否符合要求，并确保没有遗漏重要信息。 </think> nopCommerce 4.90.0 存在跨站脚本（XSS）漏洞，攻击者可通过博客文章功能注入恶意 HTML/JavaScript 代码并执行。该漏洞已分配 CVE-2025-65590 编号，由 AlterSec t/a PenTest.NZ 发现。... 2025-12-16 05:19:7 | 阅读: 21 | 收藏 | Full Disclosure - seclists.org tezcan seclists mailing onur

nopCommerce 4.90.0 is vulnerable to Cross Site Scripting (XSS) via the Attributes functionality 好的，我现在需要帮用户总结一篇文章的内容，控制在100字以内。用户已经提供了文章的详细内容，包括漏洞类型、影响范围、CVE编号以及发现者的信息。 首先，我要确定文章的主要内容。这篇文章提到了nopCommerce 4.90.0版本中的一个Stored XSS漏洞，具体是在Attributes管理模块的Name字段中。攻击者可以插入JavaScript代码，当有权限的用户访问相关页面时会被触发。这个漏洞已经被分配了CVE-2025-65589，并由AlterSec t/a PenTest.NZ发现。 接下来，我需要将这些信息浓缩到100字以内。要确保包含关键点：软件名称、版本、漏洞类型、影响范围和CVE编号。同时，语言要简洁明了，避免使用复杂的术语。 可能会遇到的问题是如何在有限的字数内涵盖所有重要信息。可能需要省略一些细节，比如具体的攻击向量或发现者的全名，但要保留核心内容。 最后，检查总结是否符合用户的要求：直接描述内容，不使用特定的开头语句，并且控制在100字以内。 </think> nopCommerce 4.90.0版本存在Stored XSS漏洞，攻击者可通过Attributes管理模块的Name字段插入JavaScript代码。该漏洞影响具有权限的用户访问相关页面时触发。已分配CVE-2025-65589编号。... 2025-12-16 05:19:4 | 阅读: 23 | 收藏 | Full Disclosure - seclists.org onur seclists tezcan mailing

Multiple Security Misconfigurations and Customer Enumeration Exposure in Convercent Whistleblowing Platform (EQS Group) Convercent举报平台（EQS集团）存在多个安全配置错误和客户枚举暴露问题，已分配CVE-2025-34411和CVE-2025-34412。... 2025-12-16 05:18:33 | 阅读: 20 | 收藏 | Full Disclosure - seclists.org cverecord 34411 34412 kisaragi

APPLE-SA-12-12-2025-9 Safari 26.2 苹果发布Safari 26.2安全更新，修复多个漏洞。包括文件URL验证问题、下载功能错误关联、WebKit内存管理漏洞等。这些问题可能影响macOS Sonoma和Sequoia用户。... 2025-12-16 05:18:31 | 阅读: 24 | 收藏 | Full Disclosure - seclists.org webkit sonoma sequoia addressed bugzilla

APPLE-SA-12-12-2025-8 visionOS 26.2 Apple visionOS 26.2修复了多个安全漏洞，包括权限问题、内存错误和FaceTime caller ID欺骗等，影响数据隐私和系统安全，并致谢多位研究人员贡献。... 2025-12-16 05:18:28 | 阅读: 17 | 收藏 | Full Disclosure - seclists.org addressed webkit memory security bugzilla

APPLE-SA-12-12-2025-7 watchOS 26.2 嗯，用户发来了一段邮件内容，看起来是关于苹果watchOS 26.2的安全更新公告。他让我用中文帮他总结一下文章内容，控制在100个字以内，而且不需要用“文章内容总结”之类的开头。 首先，我需要快速浏览邮件内容，找出关键信息。邮件里提到了多个安全漏洞，比如App Store、AppleJPEG、Calling Framework等等，每个漏洞都有CVE编号和修复描述。还有多个组件被修复，涉及权限问题、内存 corruption、FaceTime spoofing等。 接下来，我需要把这些信息浓缩成一句话。要涵盖主要的修复点和受影响的设备。注意用户要求控制在100字以内，所以要简洁明了。 可能的结构是：苹果发布watchOS 26.2更新，修复了多个安全漏洞，包括权限问题、内存 corruption等，影响Apple Watch Series 6及以后版本，并提到 CVE编号。 现在检查字数是否合适。确保不超过100字，并且信息准确全面。 </think> 苹果发布watchOS 26.2安全更新，修复了包括权限问题、内存 corruption、FaceTime caller ID spoofing等多个高危漏洞，并针对Apple Watch Series 6及后续设备进行了改进。... 2025-12-16 05:18:26 | 阅读: 15 | 收藏 | Full Disclosure - seclists.org addressed webkit security memory pgp

APPLE-SA-12-12-2025-6 tvOS 26.2 嗯，用户让我帮忙总结一篇文章的内容，控制在一百个字以内，而且不需要特定的开头。首先，我需要仔细阅读这篇文章，了解它的主要内容。 看起来这篇文章是关于苹果tvOS 26.2版本的安全更新。里面提到了多个漏洞和修复措施，涉及AppleJPEG、curl、Foundation等多个组件。每个漏洞都有CVE编号，并且提到了一些研究人员的名字。 接下来，我需要提取关键信息：tvOS版本号、修复的问题数量、涉及的组件以及安全更新的来源。然后，把这些信息浓缩成一句话，确保不超过一百个字。 还要注意用户的要求，不要用“文章内容总结”之类的开头，直接描述内容即可。同时，保持语言简洁明了。 最后，检查一下字数是否符合要求，并确保所有重要信息都被涵盖。 </think> 苹果发布tvOS 26.2安全更新，修复了多个漏洞和安全问题，包括内存 corruption、权限滥用和代码执行风险等。... 2025-12-16 05:18:24 | 阅读: 23 | 收藏 | Full Disclosure - seclists.org hd security addressed webkit software

APPLE-SA-12-12-2025-5 macOS Sonoma 14.8.3 macOS Sonoma 14.8.3修复了多个安全漏洞，包括内存腐败、权限问题、数据泄露等，涉及AppleJPEG、AppSandbox、Kernel等多个组件，并改进了输入验证和隐私控制。... 2025-12-16 05:18:21 | 阅读: 21 | 收藏 | Full Disclosure - seclists.org sonoma addressed security software

APPLE-SA-12-12-2025-4 macOS Sequoia 15.7.3 苹果发布macOS Sequoia 15.7.3安全更新，修复了多个漏洞，包括内存腐败、权限提升、数据泄露等问题，以增强系统安全性和隐私保护。... 2025-12-16 05:18:18 | 阅读: 21 | 收藏 | Full Disclosure - seclists.org sequoia addressed security anonymous

APPLE-SA-12-12-2025-3 macOS Tahoe 26.2 苹果发布macOS Tahoe 26.2安全更新，修复了包括权限问题、内存损坏、数据泄露等多处漏洞，涉及App Store、AppleJPEG、Kernel等多个组件，并新增了多项安全限制和改进措施以增强系统防护能力。... 2025-12-16 05:18:15 | 阅读: 23 | 收藏 | Full Disclosure - seclists.org tahoe addressed webkit anonymous memory

Multiple Security Misconfigurations and Customer Enumeration Exposure in Convercent Whistleblowing Platform (EQS Group) 好的，我现在需要帮用户总结这篇文章的内容，控制在100字以内。首先，我得通读整篇文章，理解其主要内容。 文章标题是关于Convercent举报平台的多个安全配置错误和客户枚举暴露问题。作者是Yuffie Kisaragi，日期是2025年12月4日。文章提到了EQS Group运营的这个平台存在多个安全漏洞，包括缺少HTTP安全头、重复的会话cookie、不一致的SameSite属性、不完善的点击劫持保护，以及一个未认证的API端点导致客户信息泄露。 漏洞的影响非常严重，特别是考虑到该平台处理的是举报信息和敏感数据，这些漏洞可能导致保密性、完整性和运营隐私受到威胁。文章还提到这些漏洞影响了多个客户实例，如Milliman、Röchling Group和BorgWarner，说明问题具有系统性。 总结部分需要涵盖主要的安全问题和影响。我需要确保在100字以内简洁明了地表达出来。可能的结构是先指出平台的问题，然后列举主要漏洞，最后说明影响。 比如：“Convercent举报平台存在多重安全配置错误和客户信息泄露风险。问题包括缺少关键HTTP安全头、重复会话cookie、不一致SameSite属性、不完善点击劫持保护及未认证API端点导致客户枚举。这些漏洞对保密性、完整性和隐私构成严重威胁。” 检查一下字数是否在限制内，并确保没有使用“文章内容总结”等开头用语。 </think> Convercent举报平台存在多重安全配置错误和客户信息泄露风险。问题包括缺少关键HTTP安全头、重复会话cookie、不一致SameSite属性、不完善点击劫持保护及未认证API端点导致客户枚举。这些漏洞对保密性、完整性和隐私构成严重威胁。... 2025-12-5 18:2:18 | 阅读: 28 | 收藏 | Full Disclosure - seclists.org convercent security anonymous issueintake

8 vulnerabilities in AudioCodes Fax/IVR Appliance Pierre Kim披露了AudioCodes Fax/IVR Appliance的8个安全漏洞，包括4个预认证远程代码执行、文件上传和读取、本地权限提升及认证后命令注入等高危问题。所有版本受影响，厂商未及时修复或回应。... 2025-12-2 05:29:6 | 阅读: 27 | 收藏 | Full Disclosure - seclists.org audiocodes php fax ivr f2madmin