CyberDanube Security Research 20251014-0 | Multiple Vulnerabilities in Phoenix Contact QUINT4 UPS Phoenix Contact QUINT4-UPS设备存在五个高危漏洞（CVE-2025-41703至CVE-2025-41707），包括未认证Modbus攻击、密码泄露及DoS攻击等。受影响版本为VC:00至VC:07，部分漏洞已通过升级修复，但配置仍存风险。建议限制网络访问并升级设备以提升安全性。... 2025-10-19 03:9:36 | 阅读: 30 | 收藏 | Full Disclosure - seclists.org vc 24dc modbus ups quint4

apis.google.com - Insecure redirect via __lu parameter (exploited in the wild) apis.google.com 的 additnow 功能存在开放重定向漏洞（CWE-601），已被用于钓鱼攻击。通过 `__lu` 参数可控制重定向目标，导致用户被引导至恶意网站。该漏洞自 2025 年 9 月起被利用，影响包括绕过垃圾邮件过滤和 SEO 操纵。严重程度为中等。... 2025-10-19 03:9:24 | 阅读: 32 | 收藏 | Full Disclosure - seclists.org lu additnow patrick exploited

Urgent Security Vulnerabilities Discovered in Mercku Routers Model M6a 文章披露了Mercku M6a路由器的严重安全漏洞，包括远程代码执行、CSRF攻击、隐藏Telnet后门、权限提升及弱会话令牌等问题。这些漏洞使攻击者可轻松控制路由器并长期威胁用户网络。由于厂商未回应披露请求，作者选择公开信息以促使其修复并提高用户警惕。... 2025-10-19 03:9:15 | 阅读: 29 | 收藏 | Full Disclosure - seclists.org mercku openpgp nullvoid firmware

Re: Security Advisory: Multiple High-Severity Vulnerabilities in Suno.com (JWT Leakage, IDOR, DoS) 文章讨论了Suno.com存在的多个高危漏洞，包括JWT令牌泄露、身份验证绕过和拒绝服务攻击。其中JWT泄露问题因浏览器扩展拦截网络流量而引发，但厂商认为此非自身问题。专家指出该问题源于客户端环境已被攻破，并非服务漏洞。... 2025-10-16 02:52:16 | 阅读: 81 | 收藏 | Full Disclosure - seclists.org gynvael leakage malicious coldwind

Security Advisory: Multiple High-Severity Vulnerabilities in Suno.com (JWT Leakage, IDOR, DoS) 嗯，用户让我总结一下这篇文章的内容，控制在100字以内，而且不需要用“文章内容总结”之类的开头。首先，我需要仔细阅读这篇文章，了解它的主要内容。 看起来这是一份安全公告，提到了Suno.com发现了三个高危漏洞。第一个是JWT令牌泄露，第二个是对象级别授权不足（IDOR），第三个是资源消耗过多导致的DoS攻击。这些漏洞的风险等级都是高的。 接下来，我需要把这些信息浓缩到100字以内。可能的结构是先点出公司和漏洞数量，然后分别列出每个漏洞的名称和影响。最后提到厂商的回应情况和披露的时间。 要注意用词简洁，避免重复。比如“High-Severity Vulnerabilities”可以简化为“高危漏洞”。同时，要确保所有关键信息都被涵盖：JWT泄漏、IDOR、DoS，以及厂商未妥善处理披露的情况。 最后检查一下字数，确保不超过限制。这样用户就能快速了解文章的核心内容了。 </think> Suno.com发现三个高危漏洞：JWT令牌泄露、对象级别授权不足（IDOR）及资源消耗过多导致的DoS攻击。这些问题可能导致账户接管、隐私泄露及服务中断。厂商未妥善处理披露事宜，已于10月10日公开披露。... 2025-10-14 03:23:56 | 阅读: 118 | 收藏 | Full Disclosure - seclists.org suno security exposure prod excessive

[SBA-ADV-20250730-01] CVE-2025-39664: Checkmk Path Traversal Checkmk存在路径遍历漏洞（CVE-2025-39664），影响多个版本。攻击者可通过变量绕过验证，在服务器任意位置存储报告文件（.mk和.pdf），可能导致拒绝服务或潜在远程代码执行。建议更新至2.4.0p13、2.3.0p38或2.2.0p46版本，并加强输入验证以防止类似问题。... 2025-10-14 03:23:47 | 阅读: 116 | 收藏 | Full Disclosure - seclists.org jul checkmk omd lrwxrwxrwx mk

[SBA-ADV-20250724-01] CVE-2025-32919: Checkmk Agent Privilege Escalation via Insecure Temporary Files Checkmk Agent存在特权提升漏洞（CVE-2025-32919），影响Windows版本2.4.0p13、2.3.0p38、2.2.0p46及以下版本。攻击者可利用win_license插件中不安全的临时文件夹创建本地系统权限。建议更新至最新版本并修复临时文件使用问题。... 2025-10-14 03:23:45 | 阅读: 121 | 收藏 | Full Disclosure - seclists.org checkmk windows ctl slmgr sba

CVE-2025-59397 - Open Web Analytics SQL Injection Open Web Analytics (OWA) 存在 SQL 注入漏洞（CVE-2025-59397），影响 1.8.0 及以下版本。攻击者可通过构造恶意输入执行任意 SQL 查询，导致数据泄露和潜在权限提升。已修复于 1.8.1 版本。... 2025-10-9 04:30:11 | 阅读: 23 | 收藏 | Full Disclosure - seclists.org owa seralys constraints injection

Re: [FD] Full Disclosure: CVE-2025-31200 & CVE-2025-31201 – 0-Click iMessage Chain → Secure Enclave Key Theft, Wormable RCE, Crypto Theft 文章披露了两个iOS漏洞（CVE-2025-31200和CVE-2025-31201），涉及零点击iMessage攻击链、安全 enclave密钥窃取、可蠕虫化的远程代码执行（RCE）以及加密资产盗窃，并提供了GitHub链接和CNVD证书用于验证。... 2025-10-7 18:56:48 | 阅读: 17 | 收藏 | Full Disclosure - seclists.org 31201 fri 31200 josephgoyd

Re: Full Disclosure: CVE-2025-31200 & CVE-2025-31201 – 0-Click iMessage Chain → Secure Enclave Key Theft, Wormable RCE, Crypto Theft Substack平台出现故障，用户寻求替代方案。文章讨论了两个安全漏洞：CVE-2025-31201允许通过恶意AMPDU元数据绕过PAC进行权限提升；CVE-2025-31200则为零点击iMessage链漏洞，可导致安全 enclave密钥被盗、远程代码执行及加密资产损失。... 2025-10-7 18:55:29 | 阅读: 12 | 收藏 | Full Disclosure - seclists.org 31201 x9p 31200 mailing

Re: Defense in depth -- the Microsoft way (part 93): SRP/SAFER whitelisting goes black on Windows 11 Windows 11中的SAFER功能存在漏洞，在配置允许规则后仍错误阻止SecurityHealthHost.exe执行，默认规则覆盖路径规则。该问题影响多个版本（24H2和25H2），且在使用特定脚本配置后持续记录日志错误。... 2025-10-7 18:53:2 | 阅读: 11 | 收藏 | Full Disclosure - seclists.org windows safer systemroot

Re: [FD] : "Glass Cage" – Zero-Click iMessage → Persistent iOS Compromise + Bricking (CVE-2025-24085 / 24201, CNVD-2025-07885) "Glass Cage"是一个针对iOS 18.2的零点击iMessage漏洞链，允许攻击者通过发送恶意PNG图像远程控制设备，并可选择性地使其变砖。该漏洞利用了CoreMedia和WebKit中的两个关键漏洞（CVE-2025-24085和CVE-2025-24201），已被苹果修复。作者在未获认可的情况下进行了公开披露，并通过CNVD获得认证。... 2025-10-2 22:20:17 | 阅读: 14 | 收藏 | Full Disclosure - seclists.org cnvd coremedia 07885 24201 josephgoyd

Re: [FD] Full Disclosure: CVE-2025-31200 & CVE-2025-31201 – 0-Click iMessage Chain → Secure Enclave Key Theft, Wormable RCE, Crypto Theft 文章披露了两个零点击iMessage漏洞（CVE-2025-31200和CVE-2025-31201），影响iOS 18.2至18.4设备。攻击者可通过MP4音频触发堆溢出和PAC绕过，实现安全 enclave密钥窃取和蠕虫式远程代码执行。尽管已修复，但苹果未公开承认或致谢。... 2025-10-2 22:20:14 | 阅读: 12 | 收藏 | Full Disclosure - seclists.org enclave 31201 31200 bypass

Samtools v1.22.1 Uncontrolled Memory Allocation from Large BED Intervals Causes Denial-of-Service in Samtools/HTSlib Samtools和HTSlib在处理包含超大区间值的BED文件时存在拒绝服务漏洞。攻击者可通过构造恶意BED文件触发内存分配失败，导致进程终止。此漏洞可被利用以造成拒绝服务攻击。... 2025-9-30 15:19:56 | 阅读: 15 | 收藏 | Full Disclosure - seclists.org samtools bed bedidx csu htslib

Samtools v1.22.1 Improper Handling of Excessive Histogram Bin Counts in Samtools Coverage Leads to Stack Overflow Samtools coverage子命令在处理过大的`-w/--n-bins`参数时可能出现整数除法错误和堆栈溢出问题，导致程序崩溃或内存损坏。提供一个包含大参考序列的BAM文件并运行特定命令即可复现此漏洞。... 2025-9-30 15:19:54 | 阅读: 11 | 收藏 | Full Disclosure - seclists.org samtools bins overflow t0 bam

libgeotiff 1.7.4 Heap Buffer Overflow in geotifcp (libgeotiff) During 8-to-4 Bit Downsample with Odd Image Width libgeotiff中的geotifcp工具存在堆溢出漏洞，当处理奇数宽度的TIFF图像并使用-d选项时触发。函数处理像素对时越界读取缓冲区，导致崩溃、信息泄露或内存损坏。已提供POC验证。... 2025-9-30 15:19:52 | 阅读: 13 | 收藏 | Full Disclosure - seclists.org ifd libgeotiff geotifcp tiff overflow

APPLE-SA-09-29-2025-6 visionOS 26.0.1 Apple发布visionOS 26.0.1安全更新，修复FontParser组件中的越界写入漏洞（CVE-2025-43400），该漏洞可能导致应用异常终止或内存损坏。用户可通过支持页面获取更新说明和版本检查方法。... 2025-9-30 15:19:45 | 阅读: 15 | 收藏 | Full Disclosure - seclists.org security pgp visionos 100100

APPLE-SA-09-29-2025-5 macOS Sonoma 14.8.1 苹果发布macOS Sonoma 14.8.1安全更新，修复FontParser组件中的越界写入漏洞（CVE-2025-43400），该漏洞可能导致应用崩溃或内存损坏。用户可通过Mac App Store或Apple官网下载更新。... 2025-9-30 15:19:43 | 阅读: 16 | 收藏 | Full Disclosure - seclists.org security pgp sonoma seclists

APPLE-SA-09-29-2025-4 macOS Sequoia 15.7.1 苹果发布macOS Sequoia 15.7.1安全更新，修复FontParser组件中的越界写入漏洞（CVE-2025-43400），防止恶意字体导致应用崩溃或内存损坏。用户可通过Mac App Store或苹果官网下载更新。... 2025-9-30 15:19:41 | 阅读: 16 | 收藏 | Full Disclosure - seclists.org security sequoia pgp software

APPLE-SA-09-29-2025-3 macOS Tahoe 26.0.1 Apple发布macOS Tahoe 26.0.1安全更新，修复FontParser组件中的越界写入漏洞（CVE-2025-43400），防止恶意字体导致应用崩溃或内存损坏。... 2025-9-30 15:19:37 | 阅读: 15 | 收藏 | Full Disclosure - seclists.org security tahoe pgp seclists