この脆弱性は本物ですか、悪用されていますか、それともノイズですか?
パッケージ、CVE、またはセキュリティの懸念を貼り付けてください。証明し、説明し、修正方法を示します。
対応形式:パッケージ名、パッケージ@バージョン、CVE ID、CWE ID、npm/PyPI URL
ライブセキュリティアラート
すべて表示 →Newly-introduced runtime execution surface (eval / shell / network) on a package published inside a coordinated burst of uninspectable ballooned bundles by the same maintainer account - stage-1 dropper precursor, failing closed
3 versions flagged · Latest 0.10.0
OIDC trusted-publisher / SLSA provenance attestation lost vs prior version — publishing pipeline bypassed (account takeover or stolen token signature)
OIDC trusted-publisher / SLSA provenance attestation lost vs prior version — publishing pipeline bypassed (account takeover or stolen token signature)
OIDC trusted-publisher / SLSA provenance attestation lost vs prior version — publishing pipeline bypassed (account takeover or stolen token signature)
Publisher email transitioned to a known anonymous-by-design / burner provider — account-takeover signal
注目すべき脆弱性
Updated 2m agon8n Vulnerable to Remote Code Execution via Expression Injection
Marimo: Pre-Auth Remote Code Execution via Terminal WebSocket Authentication Bypass
Unauthenticated Remote Code Execution in Langflow via Public Flow Build Endpoint
MindsDB: Path Traversal in /api/files Leading to Remote Code Execution
Langflow has Remote Code Execution in CSV Agent
検出された主な弱点
すべて表示 →Exposure of Sensitive Information to an Unauthorized Actor
Improper Input Validation
Use of Hard-coded Credentials
Improper Control of Generation of Code ('Code Injection')
Execution with Unnecessary Privileges
Permissive Cross-domain Policy with Untrusted Domains
Uncontrolled Resource Consumption
Authorization Bypass Through User-Controlled Key
パッケージセキュリティステータス
ターミナルからスキャン
Shoulderをローカルで実行してインストール前にパッケージを分析するか、プロジェクト全体の脆弱性をスキャンします。
npx @shoulderdev/cli check <package>
npx @shoulderdev/cli trust .