ENISA 完整漏洞列表 按ID搜索漏洞 按文本搜索漏洞 当前网站处于 Beta 阶段。欢迎您通过下方的“提供反馈”链接报告任何不准确或不完整的信息。

ENISA 漏洞数据库

严重漏洞

ID| Alternative ID| Exploitation| CVSS| Vendor| Changed ---|---|---|---|---|--- EUVD-2025-11137| CVE-2025-30510| Not available| v4.0: 9.3| Growatt| 11 hours ago 攻击者可以上传任意文件,而不是植物图片。 EUVD-2025-11105| CVE-2025-30967| Not available| v3.1: 9.6| NotFound| 11 hours ago NotFound WPJobBoard 中的跨站请求伪造 (CSRF) 漏洞允许将 Web Shell 上传到 Web 服务器。此问题影响 WPJobBoard:从 n/a 到 n/a。 EUVD-2025-11117| CVE-2025-26927| Not available| v3.1: 10| EPC| 11 hours ago EPC AI Hub 中的危险类型文件无限制上传漏洞允许将 Web Shell 上传到 Web 服务器。此问题影响 AI Hub:从 n/a 到 1.3.3。 EUVD-2025-11136| CVE-2025-24297| Not available| v4.0: 9.3| Growatt| 11 hours ago 由于缺乏服务器端输入验证,攻击者可以将恶意 JavaScript 代码注入到 Web 门户用户的个人空间中。 更多严重漏洞

已被利用的漏洞

ID| Alternative ID| Exploitation| CVSS| Vendor| Changed ---|---|---|---|---|--- EUVD-2025-10122| CVE-2025-29824GHSA-74mq-6c57-fxpx| v3.1: 7.8| Microsoft| 11 hours ago Windows Common Log File System Driver 中的释放后使用漏洞允许经过授权的攻击者在本地提升权限。 EUVD-2025-9671| CVE-2025-30406| v3.1: 9| Gladinet| 7 days ago Gladinet CentreStack 直到 16.1.10296.56315 版本(在 16.4.10315.56368 版本中修复)存在反序列化漏洞,原因是 CentreStack 门户使用了硬编码的 machineKey,该漏洞已于 2025 年 3 月在野外被利用。这使得(知道 machineKey 的)威胁者能够序列化有效载荷以进行服务器端反序列化,从而实现远程代码执行。注意:CentreStack 管理员可以手动删除 portal\web.config 中定义的 machineKeyEUVD-2024-51869| CVE-2024-53197| Not available| Linux| 2 months ago 在 Linux 内核中,以下漏洞已得到解决:ALSA: usb-audio: 修复 Extigy 和 Mbox 设备潜在的越界访问。一个伪造的设备可以提供一个超过 usb_get_configuration 中用于分配 dev->config 的初始值的 bNumConfigurations 值。这可能导致稍后的越界访问,例如在 usb_destroy_configuration 中。 EUVD-2024-51822| CVE-2024-53150| Not available| Linux| 2 months ago 在 Linux 内核中,以下漏洞已得到解决:ALSA: usb-audio: 修复查找时钟源时的越界读取。当前的 USB 音频驱动程序代码在遍历时钟描述符时不检查每个描述符的 bLength。也就是说,当设备提供带有较短 bLength 的伪造描述符时,驱动程序可能会遇到越界读取。为了解决这个问题,此补丁为时钟描述符遍历的验证器函数添加了健全性检查。当描述符长度短于预期时,它会在循环中被跳过。对于时钟源和时钟倍增器描述符,我们只需针对每个描述符类型的 sizeof() 检查 bLength。另一方面,UAC2 和 UAC3 的时钟选择器描述符具有 bNrInPins 元素的数组,并且尾部还有两个字段,因此除了 sizeof() 检查之外,还必须检查这些元素。 更多已被利用的漏洞

EU CSIRT 协调的漏洞

ID| Alternative ID| Exploitation| CVSS| Vendor| Changed ---|---|---|---|---|--- EUVD-2024-23561| CVE-2024-26290GSD-2024-26290| 0.10 %| v4.0: 8.7| Avid| 11 hours ago Avid Avid NEXIS E-series on Linux、Avid Avid NEXIS F-series on Linux、Avid Avid NEXIS PRO+ on Linux、Avid System Director Appliance (SDA+) on Linux 中的不正确的输入验证漏洞允许在具有 root 权限的底层操作系统上执行代码。此问题影响 Avid NEXIS E-series:低于 2024.6.0;Avid NEXIS F-series:低于 2024.6.0;Avid NEXIS PRO+:低于 2024.6.0;System Director Appliance (SDA+):低于 2024.6.0。 EUVD-2025-10931| CVE-2025-3575| Not available| v4.0: 8.7| T-INNOVA| 21 hours ago T-INNOVA 的 Deporsite 中的不安全直接对象引用漏洞允许攻击者通过 "/helper/Familia/establecerUsuarioSeleccion" 端点中的 "idUsuario" 参数检索其他用户的敏感信息。 EUVD-2025-10934| CVE-2025-3578| Not available| v4.0: 9.3| AiDex| 1 day ago 在 1.7 之前的 AiDex 版本中,一个恶意的、经过身份验证的用户可以列出其他用户的凭据,创建或修改应用程序中现有的用户,列出生产或开发环境中用户的凭据。此外,还可能导致漏洞,导致敏感信息泄露,例如关于软件或内部系统路径的详细信息。这些操作可以通过滥用 LLM Prompt(聊天机器人)技术,通过 /api/<string-chat>/message 端点,操纵“content”参数的内容来执行。 EUVD-2025-10933| CVE-2025-3579| Not available| v4.0: 9.3| AiDex| 1 day ago 在 Aidex 1.7 之前的版本中,一个经过身份验证的恶意用户,利用开放注册表,可以在系统内执行未经授权的命令。这包括执行操作系统 (Unix) 命令,与内部服务(如 PHP 或 MySQL)交互,甚至调用所用框架的本机函数,如 Laravel 或 Symfony。这种执行是通过 Prompt Injection 攻击,通过 /api/<string-chat>/message 端点,操纵“content”参数的内容来实现的。 更多 EU CSIRT 协调的漏洞

提供反馈

为网站提供反馈 CSIRT Network ENISA CVD CIRAS 关于FAQ法律声明数据保护联系方式 © 2005-2024 by the European Union Agency for Cybersecurity. ENISA 是欧盟的一个机构。