关于Spring Framework URL解析不当漏洞(CVE-2024-22243)的安全预警
关于Spring Framework URL解析不当漏洞(CVE-2024-22243)的安全预警一、 基本情况Spring Framework 是一个功能强大的 Java 应用程序框架,旨在提供高效且可扩展的开发环境。UriComponentsBuilder是Spring Framework 提供的一个实用工具类,用于构建和处理URI。二、 漏洞描述Spring Framework中修复了一个URL解析不当漏洞(CVE-2024-22243)。Spring Framework受影响版本中,由于UriComponentsBuilder中在处理URL 时未正确过滤...
关于ConnectWise ScreenConnect身份验证绕过漏洞(CVE-2024-1709)的安全预警
关于ConnectWise ScreenConnect身份验证绕过漏洞(CVE-2024-1709)的安全预警一、 基本情况ConnectWise ScreenConnect是一款快速、灵活且安全的远程桌面和访问软件,可随时随地连接到任何设备。二、 漏洞描述ConnectWise ScreenConnect中修复了一个身份验证绕过漏洞(CVE-2024-1709)和一个目录遍历漏洞(CVE-2024-1708),目前这些漏洞的技术细节及PoC已公开,且已发现被利用。CVE-2024-1709:ConnectWise ScreenConnect身份验...
关于QNAP QTS & QuTS Hero原型污染漏洞(CVE-2023-39296)的安全预警
关于QNAP QTS & QuTS Hero原型污染漏洞(CVE-2023-39296)的安全预警一、 基本情况QNAP Systems, Inc.(威联通科技)主要生产用于文件共享、虚拟化、存储管理和监控应用的网络附加存储(NAS)设备。二、 漏洞描述某些QNAP操作系统中修复了一个原型污染漏洞(CVE-2023-39296),其CVSSv3评分为7.5。该漏洞影响了QTS 和 QuTS Hero,可能导致远程威胁者使用类型不兼容的属性覆盖现有属性,从而可能导致系统崩溃。此外,QTS 和 QuTS...
关于GitPython代码执行漏洞(CVE-2024-22190)的安全预警
关于GitPython代码执行漏洞(CVE-2024-22190)的安全预警一、 基本情况GitPython 是一个用于与 Git存储库交互的 Python 库。二、 漏洞描述GitPython中修复了一个代码执行漏洞(CVE-2024-22190),其CVSSv3评分为7.8,目前该漏洞的细节及PoC已公开。该漏洞源于CVE-2023-40590 的修复不完善。在Windows 上,如果 GitPython 使用 shell 来运行git,以及当它运行bash.exe来解释hooks时,它会使用不受信任的搜索路径并可能执行在不受...
关于Apache InLong Manager远程代码执行漏洞(CVE-2023-51784)的安全预警
关于Apache InLong Manager远程代码执行漏洞(CVE-2023-51784)的安全预警一、 基本情况Apache InLong是一站式、全场景的海量数据集成框架,同时支持数据接入、数据同步和数据订阅,提供自动、安全、可靠和高性能的数据传输能力,方便业务构建基于流式的数据分析、建模和应用。二、 漏洞描述Apache InLong Manager组件中存在一个远程代码执行漏洞(CVE-2023-51784),其CVSS评分为9.8。Apache InLong版本1.5.0 - 1.9.0中,由于u...
关于Perl for Windows代码执行漏洞(CVE-2023-47039)的安全预警
关于Perl for Windows代码执行漏洞(CVE-2023-47039)的安全预警一、 基本情况Perl是一种功能丰富的计算机程序语言,可以运行在多种计算机平台上,适用广泛,可被用于各种任务,包括系统管理、Web开发、网络编程、GUI开发等。二、 漏洞描述Perl for Windows中修复了一个代码执行漏洞(CVE-2023-47039),其CVSS评分为7.8。Perl for Windows 受影响版本中依赖系统路径环境变量来查找 shell (`cmd.exe`) 时存在安全问题。当运行使...
关于go-git拒绝服务漏洞(CVE-2023-49568)的安全预警
关于go-git拒绝服务漏洞(CVE-2023-49568)的安全预警一、 基本情况go-git是一个用Go语言编写的高度可扩展的 git 实现库。二、 漏洞描述go-git中修复了一个拒绝服务漏洞(CVE-2023-49568),其CVSS评分为7.5。该漏洞存在于go-git 4.0.0 - 5.11之前的版本中,威胁者可提供恶意制作的 Git 服务器响应来执行拒绝服务攻击,从而导致go-git 客户端资源耗尽。三、 影响范围4.0.0<= go-git版本< 5.11.0四、 修复建议目前该漏洞已经修复...
关于Apache OFBiz远程代码执行漏洞(CVE-2023-51467)的安全预警
关于Apache OFBiz远程代码执行漏洞(CVE-2023-51467)的安全预警一、 基本情况关于Apache OFBiz远程代码执行漏洞(CVE-2023-51467)的安全预警二、 漏洞描述Apache OFBiz中修复了一个远程代码执行漏洞(CVE-2023-51467)。Apache OFBiz版本 18.12.11之前存在漏洞,远程威胁者可构造恶意请求绕过身份验证,利用后台相关接口功能执行groovy代码,执行任意命令。此外,Apache OFBiz中还修复了一个任意文件属性读取和SSRF漏洞(CVE-...
