先知技术社区

漏洞来源漏洞描述n8n 是一个开源工作流自动化平台。在 2.14.1、2.13.3 和 1.123.27 版本之前，拥有创建或修改工作流权限的已认证用户可以利用 XML 和 GSuiteAdmin 节点中的原型污染漏洞。攻击者通过在节点配置中提供精心构造的参数，可以将攻击者控制的值写入 `Object.prototype`。攻击者可以利用这种原型污染漏洞在 n8n 实例上执行远程代码。该问题已在

致远V7.0SP3基于seeyonreport(帆软报表v9)的历史漏洞分析

本文深度分析分析以太坊高级竞猜蜜罐合约。攻击者以看似白给的链上明文答案引诱受害者，实则利用隐蔽的内部交易暗中修改答案哈希。结合管理员Mempool抢跑篡改答案与提取资金，及强制EOA调用阻断合约防御等高危手段，精心构筑出受害者必败的高级“局中局”骗局。

笔者将从协议原理出发，分析UDS诊断服务的设计缺陷，完整复现从"被动监听"到"主动控车"的攻击链路，并探讨车载网络安全的防御方案。

小0day；CodeParser.parse_callable_details() 方法在解析函数的返回类型注解时，将注解字符串通过 ast.unparse() 提取后直接传递给 eval() 执行。

基地址通常是指程序或数据在内存中的起始地址，在进行内存访问和数据处理的时候非常关键。对于运行linux系统的嵌入式设备，它通常有固定的内存布局，其中内核、用户空间和其他关键数据区域的位置在启动时就已经确定，这个往往是不会变的，不需要基地址恢复，所有基地址恢复通常针对于RTOS\Ecos系统中。 所以在研究RTOS的嵌入式设备时，需要知道固件在内存中的加载地址。加载地址的偏差会导致一些绝对地址的引用

Langflow未授权端点经exec()执行攻击者注入的组件代码，实现远程命令执行。

本文主要面向初学者，系统性地介绍了Python部分语言特性、Flask基本机制、Jinja2模板引擎特性、Payload的各种构造思路等，期望解决当前简中互联网上关于Python Web安全系统性资料的缺失，希望能帮助更多初学者。

本文是有关2026数字中国创新大赛网络安全赛道（北京赛区）部分wp

2026新春杯web方向除java题以外加域渗透wp

架构及其全面，比起寻常的webpwn的proxy之类更加接近实战

reverse

https://www.dcic-china.com/competitions/10214

Hack for a Change 2026 March: UN SDG 3 Writeup

Spring Boot CloudFoundry Actuator 认证绕过漏洞 CVE-2026-22733

红队基础设施建设--重定向器

本文详细评估了阿里 AAIG 开源的独立大模型安全围栏 YuFeng-XGuard 的防御能力、核心优势以及现存的软肋

NCTF2026web方向详解（全）内含openshell详细解

PolarisCTF招新赛web部分wp

从一个文档的信息泄露，到全校三要素泄露和RCE