返回首页
../images/m_search.png
1. 漏洞概述 2024 年 3 月 5 日,赛尔网络安全运营中心监测到 JetBrains TeamCity 身份验证绕过漏洞,漏洞编号:CVE-2024-27198,漏洞威胁等级:高危。2. 漏洞详情 JetBrains TeamCity 是一款功能强大的持续集成(CI)和持续交付(CD)工具,它支持灵活的工作流程、协作和开发实践。TeamCity 可以帮助您在 DevOps 流程中成功实现持续集成、持续交付和持续部署。Jetbrains TeamCity 存在身份认证绕过漏洞,该漏洞允许未经身份验...
1. 漏洞概述 2024 年 3 月 4 日,赛尔网络安全运营中心监测到 Apache OFBiz 路径遍历漏洞,漏洞编号:CVE-2024-25065,漏洞威胁等级:高危。2. 漏洞详情 Apache OFBiz 是一个开源的企业级应用程序框架,旨在提供一个单一的、集成的解决方案,以管理公司的所有业务流程,从订单处理到财务报告,从供应链管理到客户关系管理。它由 Apache 软件基金会维护,是一个基于 Java EE(现在称为 Jakarta EE)的技术平台。Apache OFBiz 中...
1.漏洞概述 2024 年 3 月 1 日,安全运营中心监测到 Dataease jdbc 反序列化漏洞,漏洞编号:CVE-2024-23328,漏洞威胁等级:高危。2.漏洞详情 Dataease 是一款开源的数据可视化分析工具。受影响版本中,由于未对用户输入的数据库连接参数做有效过滤,具有 Dataease 登陆权限的攻击者可通过使用 URL 编码 jdbc url 中的 autoDeserialize、allowUrlInLocalInfile 参数绕过 jdbcUrl 检测,进而读取 MySQL 客户端任意文件或反序列...
1. 漏洞概述 2024 年 2 月 26 日,赛尔网络安全运营中心监测到 Spring Framework URL Host 解析错误漏洞,漏洞编号:CVE-2024-22243,漏洞威胁等级:高危,所属厂商:VMware。2. 漏洞详情 Spring Framework 是美国威睿(VMware )公司的一套为基于 Spring 的应用程序提供的 MVC 开发框架。如果应用程序使用 UriComponentsBuilder 解析外部提供的 URL(如通过查询参数)并对解析的 URL 的主机执行验证检查,通过验证检查后使用 U...
1.漏洞概述 2024 年 2 月 26 日,安全运营中心监测到 Apache DolphinScheduler<3.2.1 任意代码执行漏洞,漏洞编号:CVE-2024-23320,漏洞威胁等级:高危。2.漏洞详情 Apache Dolphinscheduler 是开源的分布式任务调度系统。受影响版本中,由于 SwitchTaskUtils#generateContentWithTaskParams 方法未对用户可控的任务参数有效过滤,攻击者可构造包含模版字符串(如:${cmd})或 Unicode 编码的恶意参数创建数据处理任务,当程序执...
1.漏洞概述 2024 年 2 月 23 日,安全运营中心监测到 Spring Web UriComponentsBuilder URL 解析不当漏洞,漏洞编号:CVE-2024-22243,漏洞威胁等级:高危。2.漏洞详情 Spring Framework 是一个开源的 Java 应用程序框架,UriComponentsBuilder是 Spring Web 中用于构建和操作 URI 的工具类。受影响版本中,由于 UriComponentsBuilder 处理 URL 时未正确过滤用户信息中的方括号 `[` ,攻击者可构造包含方括号的恶意 URL 绕过主...
1.漏洞概述 2024 年 2 月 23 日,安全运营中心监测到 GitLab 16.9 存储型 XSS 漏洞,漏洞编号:CVE-2024-1451,漏洞威胁等级:高危。2.漏洞详情 GitLab 是由 GitLab 公司开发的、基于 Git 的集成软件开发平台。GitLab 受影响版本中的用户资料页面存在存储型 XSS 漏洞,攻击者可将恶意载荷添加到个人资料(Pronunciation 字段)中,并诱导其他用户访问攻击者个人资料进而执行恶意 js,攻击者可能利用该漏洞窃取用户会话令牌等敏感...
1. 漏洞概述 2024 年 2 月 21 日,安全运营中心监测到 QEMU Virtual Function 缓冲区溢出漏洞,漏洞编号:CVE-2024-26327,漏洞威胁等级:高危。2. 漏洞详情 QEMU 是开源的通用模拟器。在 QEMU 中,NumVFs 指可以分配给虚拟机使用的虚拟化资源的数量,TotalVFs 指硬件设备支持的最大虚拟功能数量。QEMU 7.1.0 至 8.2.1 版本中,hw/pci/pcie_sriov.c 文件中的 register_vfs 函数对客户机(虚拟机)写入的 NumVFs 大于TotalVFs ...
1.漏洞概述 2024 年 2 月 21 日,安全运营中心监测到 pgjdbc 存在 SQL 注入漏洞,漏洞编号:CVE-2024-1597,漏洞威胁等级:高危。2.漏洞详情 pgjdbc 是 PostgreSQL 的 JDBC 驱动程序。 pgjdbc 受影响版本中配置为使用简单查询模式(preferQueryMode=SIMPLE,非默认情况)时存在 SQL 注入。当 SQL 占位符前存在负号(-)时,用户传入的参数值中负号会被错误解释为行注释,攻击者可利用该特征造成 SQL 注入,破坏原有语句结构。3.影...
1.漏洞概述 2024 年 2 月 21 日,安全运营中心监测到 Apache Camel JDBCAggregationRepository 反序列化漏洞,漏洞编号:CVE-2024-22369,漏洞威胁等级:高危。2.漏洞详情 Apache Camel 是开源的系统间数据交互集成框架。在受影响版本中,由于对 JDBCAggregationRepository 中 exchange 的实现存在未限制的反序列化逻辑,当攻击者可控制数据库中 exchange 字段值时,可以反序列化任意类,造成任意代码执行。在修复版本中,通过...
Copyright © 内蒙古教育和科研计算机网 版权所有
蒙ICP16002391号-2