Vulnerabilities reported by mlgzackfly :
漏洞列表
用戶所提交的漏洞列表。
-
某單位 檔案伺服器無認證存取,三個對外資料庫 RCE
- HZD Code:ZD-2026-00652
- Risk:嚴重
- Status:修補中
- Date:2026/05/27
-
某單位 招生暨校務系統反射型跨站腳本 (Reflected XSS)
- HZD Code:ZD-2026-00549
- Risk:低
- Status:確認已修補
- Date:2026/06/02
-
[Bounty] 某單位 GraphQL 用戶枚舉與加密錢包地址洩漏
- HZD Code:ZD-2026-00500
- Risk:中
- Status:審核中
- Date:2026/05/18
-
情趣用品界第一把交椅 E大 商品目錄頁面 keyword 參數反射型 XSS 漏洞
- HZD Code:ZD-2026-00491
- Risk:低
- Status:公開
- Vendor: 情趣用品界第一把交椅 a.k.a. 情趣用品界第一把交椅
- Date:2026/04/25
- 獎勵金
-
情趣用品界第一把交椅 E大 結帳流程備註(remark)欄位儲存型跨站腳本攻擊(Stored XSS)
- HZD Code:ZD-2026-00490
- Risk:高
- Status:公開
- Vendor: 情趣用品界第一把交椅 a.k.a. 情趣用品界第一把交椅
- Date:2026/04/25
- 獎勵金
-
情趣用品界第一把交椅 E大 會員資料維護頁面 nickname /name 欄位儲存型跨站腳本攻擊(Stored XSS)
- HZD Code:ZD-2026-00489
- Risk:高
- Status:公開
- Vendor: 情趣用品界第一把交椅 a.k.a. 情趣用品界第一把交椅
- Date:2026/04/25
- 獎勵金
-
某單位 Cloudflare WAF 繞過:Origin Server 直接暴露,可存取支付系統、會員系統、B2B/B2E 等 10+ 個內部服務
- HZD Code:ZD-2026-00436
- Risk:高
- Status:修補中
- Date:2026/05/27
-
AlleyPin 翔評互動 API JWT 簽名密鑰可猜測,可偽造 Token 繞過所有 API 端點認證
- HZD Code:ZD-2026-00409
- Risk:嚴重
- Status:公開
- Vendor: 翔評互動股份有限公司 a.k.a. 翔評互動股份有限公司
- Date:2026/05/28
- 獎勵金
-
某單位 Kibana 監控平台未經授權公開暴露,洩漏 2.3 億筆數據
- HZD Code:ZD-2026-00407
- Risk:嚴重
- Status:已修補
- Date:2026/05/29
-
AlleyPin 翔評互動 內部客戶管理 API 未授權存取,免費帳號即可取得大量診所完整資料(聯絡人、手機、地址、Email、統編),且 VAT 欄位被濫用儲存明文密碼
- HZD Code:ZD-2026-00383
- Risk:嚴重
- Status:公開
- Vendor: 翔評互動股份有限公司 a.k.a. 翔評互動股份有限公司
- Date:2026/05/26