关于Django Oracle SQL注入漏洞(CVE-2024-53908)的安全预警
一、 基本情况Django是一个基于Python的开源Web应用框架。二、 漏洞描述Django发布安全公告,修复了Django中的一个SQL注入漏洞(CVE-2024-53908)。Django应用使用Oracle数据库作为后端时,当Django应用中的django.db.models.fields.json.HasKey查找功能被直接用于Oracle数据库,并且其左侧参数(lhs)包含不受信任的数据时,可能会导致SQL注入攻击,攻击者可通过注入恶意SQL代码来攻击数据库,从而可能导致敏感数据泄露、数据...
关于Apache Tomcat竞争条件远程代码执行漏洞(CVE-2024-50379)的安全预警
一、 基本情况Apache Tomcat是一个流行的开源 Web 服务器和 Java Servlet 容器。二、 漏洞描述Apache Tomcat中修复了个 TOCTOU 竞争条件远程代码执行漏洞 (CVE-2024-50379),该漏洞的 CVSS 评分为 9.8。Apache Tomcat 中 JSP 编译期间存在检查时间使用时间 (TOCTOU) 竞争条件漏洞,当Apache Tomcat 的默认 servlet 被配置为允许写入 (即readonly 初始化参数被设置为非默认值false),在不区分大小写的文件系统上,当对同一文件...
关于GitLab Kubernetes Proxy Response NEL头注入漏洞(CVE-2024-11274)的安全预警
关于GitLab Kubernetes Proxy Response NEL头注入漏洞(CVE-2024-11274)的安全预警一、 基本情况GitLab是一个用于仓库管理系统的开源项目,其使用Git作为代码管理工具,可通过Web界面访问公开或私人项目。二、 漏洞描述GitLab社区版(CE)和企业版(EE)中存在Kubernetes Proxy Response NEL头注入漏洞(CVE-2024-11274),该漏洞的CVSS评分为8.7。由于GitLab CE/EE中的Kubernetes代理功能未正确处理或验证注入的Network Error...
关于Apache Struts 2远程代码执行漏洞(CVE-2024-53677)的安全预警
关于Apache Struts 2远程代码执行漏洞(CVE-2024-53677)的安全预警一、 基本情况Apache Struts 2是一个基于MVC设计模式的Web应用框架,可用于创建企业级Java web应用程序。二、 漏洞描述Apache Struts 2中存在一个远程代码执行漏洞(CVE-2024-53677),该漏洞的CVSS评分为9.5。Apache Struts 2多个受影响版本中文件上传逻辑存在缺陷,由于在文件上传过程中对用户提供的参数缺乏严格校验,攻击者可以通过操纵文件上传参数执行路...
关于SailPoint IdentityIQ访问控制不当漏洞(CVE-2024-10905)的安全预警
一、 基本情况SailPoint IdentityIQ 是一个功能强大的身份和访问管理(IAM)平台,广泛用于企业中,以提供全面的身份治理和访问管理解决方案。二、 漏洞描述SailPoint发布安全公告,披露SailPoint IdentityIQ中存在一个访问控制不当漏洞(CVE-2024-10905),其CVSS评分为10.0,攻击者可利用该漏洞在未经授权的情况下通过HTTP直接访问 IdentityIQ 应用程序目录中本应受保护的静态内容(比如敏感配置文件、应用程序代码和用户数据...
关于GitPython代码执行漏洞(CVE-2024-22190)的安全预警
一、 基本情况GitPython 是一个用于与 Git存储库交互的 Python 库。二、 漏洞描述GitPython中修复了一个代码执行漏洞(CVE-2024-22190),其CVSSv3评分为7.8,目前该漏洞的细节及PoC已公开。该漏洞源于CVE-2023-40590 的修复不完善。在Windows 上,如果 GitPython 使用 shell 来运行git,以及当它运行bash.exe来解释hooks时,它会使用不受信任的搜索路径并可能执行在不受信任的搜索路径中找到的程序。如果在Windows上使用这些功...
关于Palo Alto Networks PAN-OS身份验证绕过漏洞(CVE-2024-0012)的安全预警
关于Palo Alto Networks PAN-OS身份验证绕过漏洞(CVE-2024-0012)的安全预警一、基本情况Palo Alto Networks是全球知名的网络安全厂商,PAN-OS是Palo Alto Networks为其防火墙设备开发的操作系统。二、 漏洞描述Palo Alto Networks PAN-OS中存在一个身份验证绕过漏洞(CVE-2024-0012)和权限提升(CVE-2024-9474)漏洞,目前这些漏洞已发现被利用,详情如下:CVE-2024-0012:Palo Alto Networks PAN-OS身份验证绕过漏洞Palo Al...
关于Oracle Agile PLM Framework文件泄露漏洞(CVE-2024-21287)的安全预警
关于Oracle Agile PLM Framework文件泄露漏洞(CVE-2024-21287)的安全预警一、基本情况Oracle Agile PLM (Product Lifecycle Management) Framework 是Oracle提供的一种产品生命周期管理解决方案,旨在帮助企业有效地管理产品的整个生命周期,包括从概念设计到生产、分销、售后等所有环节的流程和数据。它帮助企业通过集成产品数据、流程和协作,来提高产品开发的效率、降低成本、确保合规性并加速创新。二、 漏洞描述Oracle发...