11개 보안 소스를 한 번에 검색

CVE ID, 패키지명, 키워드로 NVD · OSV · CISA KEV · KISA 보호나라까지 통합 검색하세요.

최근 등록 CVE

가장 최근에 발행된 취약점입니다.

  • MEDIUM

    OpenClaw MCP SSE redirects could forward Authorization headers

    Risk 3.25OSV
  • HIGH

    Apify Model Context Protocol (MCP) server: Actor MCP path authority injection leaks Apify token

    Risk 4.05OSV
  • MEDIUM

    goshs: Share-link ?token=… redemption races past download limit

    Risk 2.95OSV
  • HIGH

    goshs: WebDAV listener ignores --read-only, --upload-only, and --no-delete mode flags

    Risk 4.05OSV
  • ORAS Go forwards registry credentials across registry redirects

    Risk 0.00OSV
  • OnGres SCRAM silent channel-binding authentication downgrade via unsupported certificate algorithms

실제 악용중 (CISA KEV)

공격에 활용되고 있는 것이 확인된 취약점입니다.

  • KEVHIGH

    Apache ActiveMQ Broker, Apache ActiveMQ의 부적절한 입력 유효성 검사, 코드 생성의 부적절한 제어('코드 삽입') 취약점. Apache ActiveMQ Classic은 웹 콘솔의 /api/jolokia/에 Jolokia JMX-HTTP 브리지를 노출합니다. 기본 Jolokia 액세스 정책은 다음을 포함하여 모든 ActiveMQ MBean(org.apache.activemq:*)에 대한 실행 작업을 허용합니다. BrokerService.addNetworkConnector(문자열) 및 BrokerService.addConnector(문자열). 인증된 공격자는 다음을 사용하여 이러한 작업을 호출할 수 있습니다.

    Risk 7.40KEV · NVD · OSV · KISA · GITHUB_ADVISORY
  • KEVHIGH

    LiteLLM은 OpenAI(또는 기본) 형식으로 LLM API를 호출하기 위한 프록시 서버(AI 게이트웨이)입니다. 버전 1.74.2부터 버전 1.83.7 이전까지 MCP 서버를 저장하기 전에 미리 보는 데 사용된 두 개의 엔드포인트(POST /mcp-rest/test/connection 및 POST /mcp-rest/test/tools/list)는 stdio 전송에서 사용하는 명령, args 및 env 필드를 포함하여 요청 본문의 전체 서버 구성을 허용했습니다. stdio 구성으로 호출하면 엔드포인트가 연결을 시도했고 이로 인해 제공된 com이 생성되었습니다.

    Risk 7.35OSV · GITHUB_ADVISORY · NVD · KEV
  • KEVCRITICAL

    PTC Windchill PDMlink 및 PTC FlexPLM에서 심각한 RCE(원격 코드 실행) 취약점이 보고되었습니다. 이 취약점은 신뢰할 수 없는 데이터의 역직렬화를 통해 악용될 수 있습니다.  * 이 권고는 모든 CPS 버전에도 적용됩니다. * 확인된 취약성은 11.0 M030 이전의 Windchill 및 FlexPLM 릴리스에도 영향을 미칩니다.

    Risk 7.65NVD · KEV
  • KEVCRITICAL

    SimpleHelp 버전 5.5.15 이하 및 6.0 시험판 버전에는 OIDC 인증 흐름에 인증 우회 취약점이 포함되어 있습니다. OIDC 인증이 구성되면 로그인 중에 제출된 ID 토큰은 암호화 서명을 확인하지 않고 허용됩니다. 취약한 구성에서 인증되지 않은 원격 공격자는 완전히 인증된 기술자 세션을 얻기 위해 임의의 ID 클레임을 포함하는 위조된 토큰을 제출할 수 있습니다. 일부 구성에서는 이 문제가 발생할 수 있습니다.

최근 7일 고위험 CVE

risk_score 내림차순, CRITICAL · HIGH 만 표시.

  • CRITICAL

    Budibase는 오픈 소스 로우 코드 플랫폼입니다. 3.39.12 이전에는 게시된 Budibase 앱의 인증되지 않은 방문자가 지원 MongoDB, CouchDB, Elasticsearch, DynamoDB-PartiQL 또는 REST-with-JSON-body 컬렉션의 모든 문서를 읽고 빌더가 PUBLIC 쓰기 쿼리를 게시한 경우 하나의 HTTP 요청으로 해당 컬렉션의 모든 문서를 수정합니다. packages/server/src/sdk/workspace/queries/queries.ts:121-138의 richContext는 매개변수 값을 원시 JSON 본문으로 대체합니다.

    Risk 6.50GITHUB_ADVISORY · OSV · NVD
  • CRITICAL

    Budibase는 오픈 소스 로우 코드 플랫폼입니다. 3.39.9 이전에는 packages/server/src/api/routes/static.ts:24의 `POST /api/pwa/process-zip`이 빌더 업로드 .zip을 허용하고 extract-zip@2.0.1을 사용하여 이를 임시 디렉토리에 추출한 다음 Icons.json에 나열된 각 항목에 대해 아이콘 경로의 유효성을 검사하고 열고 바이트를 MinIO로 스트리밍합니다. 결과 객체는 GET /api/assets/{appId}/pwa/{uuid}.png를 통해 다시 제공됩니다. extract-zip@2.0.1은 심볼릭 링크 항목을 복원할 때 절대 심볼릭 링크 대상을 유지합니다.

    Risk 6.30OSV · GITHUB_ADVISORY · NVD
  • CRITICAL

    2.4.3까지의 RTKLIB에는 길이 카운터를 대상 버퍼 크기에 고정하지 못하는 decode_type1033 함수의 범위를 벗어난 쓰기 취약점이 포함되어 있어 고정된 64바이트 설명자 필드에 최대 191바이트 오버플로가 허용됩니다. NTRIP 또는 직렬 RTCM3 수정 스트림을 제어하는 ​​공격자는 유효한 CRC 베어링 유형 1033 메시지를 작성하여 인접한 rtcm_t 개체 구성원을 손상시켜 잠재적으로 임의 코드 실행 또는 서비스 거부를 달성할 수 있습니다.

    Risk 6.15NVD
  • HIGH

    pnpm은 패키지 관리자입니다. 10.34.2 및 11.5.3 이전에는 pnpm이 pnpm-lock.yaml의 첫 번째 YAML 문서에 패키지 관리자 부트스트랩 메타데이터를 유지할 수 있습니다. 패치 이전에는 커밋된 환경 잠금 파일에 일치하는 pnpm 및 @pnpm/exe 버전이 포함되어 있으면 직접 pnpm 실행이 이미 해결된 packageManagerDependities 항목을 신뢰했습니다. 따라서 악의적인 저장소는 새로운 패키지 관리자 확인을 우회한 패키지 관리자 잠금 파일 패키지 레코드와 스냅샷을 커밋한 다음 pnpm을 유발할 수 있습니다.

11개 소스를 통합 검색
NVD
OSV
CISA KEV
GitHub Advisory
MITRE CVE
Exploit-DB
RustSec
PyPA
Go Vuln DB
Ruby Advisory
npm Advisory
Composer Advisory
NVD
OSV
CISA KEV
GitHub Advisory
MITRE CVE
Exploit-DB
RustSec
PyPA
Go Vuln DB
Ruby Advisory
npm Advisory
Composer Advisory