क्या यह भेद्यता वास्तविक है, शोषित है, या शोर है?
पैकेज, CVE, या सुरक्षा चिंता पेस्ट करें। हम इसे साबित करेंगे, समझाएँगे, और समाधान दिखाएँगे।
स्वीकार करता है: पैकेज नाम, पैकेज@संस्करण, CVE ID, CWE ID, npm/PyPI URL
लाइव सुरक्षा अलर्ट
सभी देखें →Payload delivery from suspicious source: IOC URL + execution capability
Install hook writes to system paths (/etc/, /usr/, etc.) — review for persistence
Obfuscated payload + credential-harvest capability: javascript-obfuscator-grade output combined with cloud-metadata / bulk-env-sweep / cloud / SSH / browser / wallet credential access
Behavioral change: new process control without corroborating signals
Manifest version doesn't match any embedded version constant in the bundle — bundle may not have been rebuilt from the published manifest; review release pipeline and corroborating signals
उल्लेखनीय भेद्यताएँ
Updated just nown8n Vulnerable to Remote Code Execution via Expression Injection
Marimo: Pre-Auth Remote Code Execution via Terminal WebSocket Authentication Bypass
Unauthenticated Remote Code Execution in Langflow via Public Flow Build Endpoint
MindsDB: Path Traversal in /api/files Leading to Remote Code Execution
Langflow has Remote Code Execution in CSV Agent
कमज़ोरियाँ जो आपको जाननी चाहिए
सभी देखें →Exposure of Sensitive Information to an Unauthorized Actor
Improper Input Validation
Use of Hard-coded Credentials
Improper Control of Generation of Code ('Code Injection')
Execution with Unnecessary Privileges
Permissive Cross-domain Policy with Untrusted Domains
Uncontrolled Resource Consumption
Authorization Bypass Through User-Controlled Key
पैकेज सुरक्षा स्थिति
अपने टर्मिनल से स्कैन करें
पैकेज इंस्टॉल करने से पहले उनका विश्लेषण करने के लिए या भेद्यताओं के लिए अपने पूरे प्रोजेक्ट को स्कैन करने के लिए Shoulder को स्थानीय रूप से चलाएँ।
npx @shoulderdev/cli check <package>
npx @shoulderdev/cli trust .