影响厂商:Internet Bug Bounty 奖励:4000.0USD 危险等级:high
CVE-2022-28738: Regexp 编译中的 Double free

影响厂商:Nextcloud 奖励:250.0USD 危险等级:low
客户端允许访问联系人

影响厂商:Nextcloud 奖励: 危险等级:medium
控制字符筛选错过文件和文件夹名称中的前导和尾随空格

影响厂商:Uber 奖励:2000.0USD 危险等级:medium
全面阅读美国 flyte-poc-us-east4.uberinternal.com 的 SSRF

影响厂商:U.S. Dept Of Defense 奖励: 危险等级:high
利用 MS15-034，cve-2015-1635研究易受远程代码执行攻击的关键漏洞

影响厂商:U.S. General Services Administration 奖励: 危险等级:medium
通过克隆阅读其他用户报告

影响厂商:HackerOne 奖励: 危险等级:high
通过/评论/评级/{ uuid }在 app.pullrequest.com/████████中实现盲目 XSS

影响厂商:GitLab 奖励:13950.0USD 危险等级:high
在 Notes 中存储 XSS (在 gitlab. com 中使用 CSP 绕过)

影响厂商:Judge.me  奖励:1250.0USD 危险等级:high
电子邮件模板 XSS 由 filterXSS 绕过

影响厂商:Flickr 奖励:479.0USD 危险等级:medium
关键的破碎的 cookie 签约 dagobah.flickr.com

影响厂商:EXNESS 奖励:400.0USD 危险等级:None
[ com.exness.Android.pa 安卓]万能 XSS 在 webview。导致窃取用户的 cookies

影响厂商:Omise 奖励:200.0USD 危险等级:critical
跨网站脚本 dashboard2.omise.co

影响厂商:GitHub Security Lab 奖励:1000.0USD 危险等级:low
[ python ] : Zip Slip 漏洞

影响厂商:GitHub Security Lab 奖励:1800.0USD 危险等级:medium
[ Java ] : JMS 和 RabbitMQ 的流源和步骤

影响厂商:Flickr 奖励:3263.0USD 危险等级:high
存储在 photos _ user _ map. gne 中的 XSS

影响厂商:Flickr 奖励:300.0USD 危险等级:low
打开重定向旁路

影响厂商:Evernote 奖励:150.0USD 危险等级:low
电子邮件验证绕过强迫时，设置2fa

影响厂商:Rocket.Chat 奖励: 危险等级:low
AWS 实例中域名接管的可能性。

影响厂商:Nextcloud 奖励: 危险等级:low
错误删除卡片附件揭示了网站的完整路径

影响厂商:lemlist 奖励: 危险等级:high
点击 app.lemlist. com

影响厂商:GitLab 奖励:8690.0USD 危险等级:high
任意 POST 请求作为受害者用户从 Jupyter 的笔记本 HTML 注入

影响厂商:Nextcloud 奖励: 危险等级:medium
Nextcloud Deck: 任何人都可以在任何人的主板上添加任务堆栈

影响厂商:Nextcloud 奖励:150.0USD 危险等级:low
敏感文件/数据存在用户帐户删除后

影响厂商:8x8 奖励: 危险等级:medium
8x8pilot.com: 在 Apache Tomcat/jsp-example 目录中反映 XSS

影响厂商:GitLab 奖励:2000.0USD 危险等级:medium
存储在存储库文件查看器中的 XSS

影响厂商:Slack 奖励:250.0USD 危险等级:low
注入

影响厂商:TikTok(https://hackerone.com/tiktok) 
使用重定向参数的 tiktok ads 门户上的 XSS 和 iframe 注入

影响厂商:Stripe(https://hackerone.com/stripe) 
绕过全球拒绝列表，使用 https://github.com/stripe/smokescreen 中的“[]”包装域名

影响厂商:Phabricator 奖励:300.0USD 危险等级:None
允许你欺骗其他用户，或者让它看起来像是你访问了一个受限制的对象

影响厂商:Glovo 奖励: 危险等级:critical
整数溢出漏洞

影响厂商:lemlist(https://hackerone.com/lemlist) 
[ app.lemlist. com ]付款处理不当会导致绕过付款

影响厂商:TikTok 奖励:2500.0USD 危险等级:medium
在 TikTok 的权限提升

影响厂商:Automattic 奖励:150.0USD 危险等级:low
站点信息的显示名称部分容易受到 XSS 攻击和 HTML 注射。

影响厂商:lemlist 奖励: 危险等级:high
安全配置错误

影响厂商:Cloudflare Public Bug Bounty 奖励:6000.0USD 危险等级:critical
在 concat ()函数中使用十六进制转义序列在转换规则中实现 HTTP 请求偷运

影响厂商:curl(https://hackerone.com/curl) 
CVE-2022-27781: CERTINFO 永无休止的忙碌循环

影响厂商:SMTP2GO BBP 奖励:100.0USD 危险等级:low
发现原点 IP，WAF 云耀斑旁路

影响厂商:curl(https://hackerone.com/curl) 
重定向时的凭证泄漏

影响厂商:Shopify(https://hackerone.com/shopify) 
披露员工名称并采取行动。

影响厂商:Shopify 奖励:2500.0USD 危险等级:medium
通过 shopify 聊天应用程序披露客户订单详细信息。

影响厂商:Consensys 奖励:500.0USD 危险等级:medium
公共邮递员 Api 收集泄漏 https://assets-paris-dev.codefi.network/的内部访问

影响厂商:MTN Group 奖励: 危险等级:critical
下载完整备份[ Mtn.co.rw ]

影响厂商:MTN Group(https://hackerone.com/mtn_group) 
下载完整备份[ Mtn.co.rw ]

影响厂商:curl(https://hackerone.com/curl) 
在 curl 中的解析 uri 路径错误

影响厂商:curl(https://hackerone.com/curl) 
2/承载中的内存泄漏

影响厂商:curl(https://hackerone.com/curl) 
来自非安全上下文的 Cookie 注入

影响厂商:GitHub Security Lab 奖励:500.0USD 危险等级:low
[ Java ] CWE-016: 查询检测不安全的 Spring 引导器配置

影响厂商:GitHub Security Lab 奖励:1800.0USD 危险等级:medium
[ CPP ] : 为 cwe-754添加查询: 在使用函数 scanf 时对不寻常或异常条件进行不正确的检查

影响厂商:GitHub Security Lab 奖励:1800.0USD 危险等级:medium
[ Java ] : cwe-552添加源和接收器以检测 javaee 应用程序中不安全的 getResource 调用

影响厂商:GitHub Security Lab 奖励:500.0USD 危险等级:low
[ CPP ] : 添加 cwe-190的查询: 操作后使用转换时的整数溢出或重卷

影响厂商:GitHub Security Lab(https://hackerone.com/github-security-lab) 
[ Java ] : CWE-321-查询检测硬编码的 JWT 密钥

影响厂商:Internet Bug Bounty 奖励:2400.0USD 危险等级:medium
CVE-2022-27778: curl 删除错误文件

影响厂商:Internet Bug Bounty 奖励:2400.0USD 危险等级:medium
CVE-2022-27782: TLS 和 SSH 连接过于急于重用

影响厂商:U.S. Dept Of Defense(https://hackerone.com/deptofdefense) 
[ CVE-2020-3452]在 Cisco ASA 中读取未经身份验证的文件

影响厂商:U.S. Dept Of Defense(https://hackerone.com/deptofdefense) 
[ CVE-2020-3452]在 Cisco ASA 中读取未经身份验证的文件

影响厂商:U.S. Dept Of Defense(https://hackerone.com/deptofdefense) 
CVE-2020-3187- 未经认证的任意文件删除

影响厂商:U.S. Dept Of Defense(https://hackerone.com/deptofdefense) 
CVE-2020-3187- 未经认证的任意文件删除

影响厂商:U.S. Dept Of Defense(https://hackerone.com/deptofdefense) 
Https:///上的 SQL 注入

影响厂商:U.S. Dept Of Defense(https://hackerone.com/deptofdefense) 
开启 SQL 注入

影响厂商:Recorded Future(https://hackerone.com/recorded-future) 
以纯文字格式储存旧密码