当前位置: 首页 > 网络安全

关于MinIO信息泄露漏洞(CVE-2023-28432)的安全预警

一、基本情况MinIO是一个开源的、云原生的对象存储服务。它的设计目标是为云原生应用程序提供高性能、高可用性、可扩展性和安全性的对象存储。二、漏洞描述当MinIO为集群模式配置时,未经身份验证的攻击者通过构造特制请求包,最终可获取所有环境变量信息,攻击者可利用其中的MINIO_SECRET_KEY与MINIO_ROOT_PASSWORD以管理员身份登录后台。 三、影响范围2019-12-17T23-16-33Z <= MinIO < RELEASE.2023-03-20T20-16-18Z四、修复...

关于Spring Framework身份认证绕过漏洞(CVE-2023-20860)的安全预警

一、基本情况Spring Framework 是一个开源应用框架,旨在降低应用程序开发的复杂度。它是轻量级、松散耦合的,具有分层体系结构,允许用户选择组件,同时还为 J2EE 应用程序开发提供了一个有凝聚力的框架。二、漏洞描述Spring Framework存在身份认证绕过漏洞,当Spring Security使用mvcRequestMatcher配置并将"**"作为匹配模式时,在Spring Security 和 Spring MVC 之间会发生模式不匹配,最终可能导致身份认证绕过。 三、影响...

关于Linux kernel释放后使用漏洞(CVE-2023-28466)的安全预警

一、 基本情况Linux Kernel是开源操作系统 Linux 所使用的内核。二、 漏洞描述启明星辰VSRC监测到Red Hat官方发布安全公告,披露了Linux kernel中一个可能导致释放后使用的漏洞(CVE-2023-28466)。由于Linux kernel 版本<=6.2.6中的net/tls/tls_main.c 中的 do_tls_getsockopt 缺少 lock_sock 调用,导致竞争条件,可能导致释放后使用或NULL 指针取消引用。三、影响范围Linux kernel <= 6.2.6四、修复建议目前该漏洞已经修复,...

关于Microsoft Outlook权限提升漏洞(CVE-2023-23397)的安全预警

一、 基本情况Microsoft Office Outlook是微软办公软件套装的组件之一,它对Windows自带的Outlook express的功能进行了扩充。Outlook具有很多功能,可以使用它来收发电子邮件、管理联系人信息、安排日程等。二、 漏洞描述绿盟科技CERT监测到微软官方发布补丁更新,修复了一个Microsoft Outlook权限提升漏洞,未经身份验证的攻击者通过发送特制的电子邮件,导致受害者连接到攻击者控制的外部的UNC位置,造成受害者的Net-NTLMv2散...

关于Foxit PDF Reader远程代码执行漏洞(CVE-2023-27329)的安全预警

一、基本情况Foxit PDF Reader(或Foxit Reader)是福建福昕软件研发的一款PDF阅读器,用于阅读PDF格式文件;Foxit PDF Editor是一款PDF编辑器。二、漏洞描述3月10日,Foxit发布安全公告,修复了Foxit PDF Reade和PDF Editor中的多个远程代码执行漏洞(CVE-2023-27329、CVE-2023-27330和CVE-2023-27331),它们的CVSSV3评分均为7.8。这些漏洞存在于对Annotation objects(注释对象)的处理中,由于在对对象执行操作之前没有验证...

关于GitLab跨站脚本漏洞(CVE-2023-0050)的安全预警

一、基本情况GitLab是一个用于仓库管理系统的开源项目,其使用Git作为代码管理工具,可通过Web界面访问公开或私人项目。 二、漏洞描述3月2日,启明星辰VSRC监测到GitLab官方发布更新公告,修复了GitLab 社区版 (CE)和企业版(EE)中的一个跨站脚本漏洞(CVE-2023-0050)。远程威胁者可以通过特制的Kroki图导致客户端的存储型XSS,成功触发该漏洞可能导致以受害者的身份执行任意操作。三、影响范围13.7 <= GitLab CE/EE < 15.7...

关于Node.js权限绕过漏洞(CVE-2023-23918)的安全预警

一、基本情况Node.js是一个开源、跨平台的 JavaScript 运行时环境。 二、漏洞描述Node.js 19.x、18.x、16.x 和 14.x 多个版本中由于权限控制不当,可以通过使用 process.mainModule.require()绕过Node.js权限策略并访问未授权的模块。该漏洞仅影响使用--experimental-policy 启用实验权限选项的用户。三、影响范围Node.js版本< 19.6.1Node.js版本< 18.14.1Node.js版本< 16.19.1Node.js版本< 14.21.3四、修复建议目前该漏洞已经...

关于泛微e-cology9 SQL注入漏洞的安全预警

一、基本情况泛微协同管理应用平台(e-cology)是一套兼具企业信息门户、知识文档管理、工作流程管理、人力资源管理、客户关系管理、项目管理、财务管理、资产管理、供应链管理、数据中心功能的企业大型协同管理平台,并可形成一系列的通用解决方案和行业解决方案。 二、漏洞描述近日,绿盟科技CERT监测发现泛微官方发布安全补丁,修复了一个SQL注入漏洞。由于泛微e-cology9中对用户输入的数据验证存在缺陷,未经身份验证的攻击...

我是盾盾