安全公告
腾讯朱雀实验室历史披露的漏洞(CVE / GHSA)汇总。 查看 JSON 格式open_in_new
-
open_in_new中危 CVE-2026-12491 CWE-436
vLLM: image EXIF Rotation & PNG tRNS Transparency Not Normalized, Causing Mismatch Between Model Input and Expectations
deployed_code 影响范围:vllm >= 0.11.0, <= 0.23.0 calendar_today 发布日期:2026年6月17日 -
open_in_new中危 CVE-2026-45386 CWE-639
An IDOR vulnerability exists in the pin_channel_message API endpoint
deployed_code 影响范围:open-webui < 0.9.5 calendar_today 发布日期:2026年5月11日 -
open_in_new中危 CVE-2026-45385 CWE-639
An IDOR vulnerability exists in the update_message_by_id API endpoint
deployed_code 影响范围:open-webui < 0.9.5 calendar_today 发布日期:2026年5月11日 -
open_in_new低危 CVE-2026-43529 CWE-367
OpenClaw: TOCTOU read in exec script preflight
deployed_code 影响范围:OpenClaw < 2026.4.10 calendar_today 发布日期:2026年5月5日 -
open_in_new中危 CVE-2026-42310 CWE-835
Pillow has a PDF Parsing Trailer Infinite Loop (DoS)
deployed_code 影响范围:pillow >= 4.2.0, < 12.2.0 calendar_today 发布日期:2026年5月4日 -
open_in_new低危 GHSA-j4c5-89f5-f3pm CWE-918
OpenClaw: Browser CDP profile creation skipped strict-mode SSRF checks
deployed_code 影响范围:openclaw < 2026.4.20 calendar_today 发布日期:2026年4月25日 -
open_in_new中危 CVE-2026-42439 CWE-862/CWE-918
OpenClaw: Browser tabs action select and close routes bypassed SSRF policy
deployed_code 影响范围:openclaw < 2026.4.10 calendar_today 发布日期:2026年4月17日 -
open_in_new中危 CVE-2026-43576 CWE-601/CWE-918
OpenClaw: CDP /json/version WebSocket URL could pivot to untrusted second-hop targets
deployed_code 影响范围:openclaw < 2026.4.5 calendar_today 发布日期:2026年4月17日 -
open_in_new高危 CVE-2026-43584 CWE-184
OpenClaw: Exec environment denylist missed high-risk interpreter startup variables
deployed_code 影响范围:openclaw < 2026.4.10 calendar_today 发布日期:2026年4月17日 -
open_in_new高危 CVE-2026-43533 CWE-23
OpenClaw: QQBot media tags could read arbitrary local files through reply text
deployed_code 影响范围:openclaw < 2026.4.10 calendar_today 发布日期:2026年4月17日
每页
