关于Fiber跨站请求伪造漏洞(CVE-2023-45128)的安全预警
关于Fiber跨站请求伪造漏洞(CVE-2023-45128)的安全预警一、 基本情况Fiber是一个用Go编写的Web 框架,建立在Go最快的HTTP引擎Fasthttp之上,其设计目的是通过零内存分配和高性能来简化快速开发。二、 漏洞描述Fiber中修复了CSRF令牌注入和重用漏洞(CVE-2023-45128)和CSRF令牌验证漏洞(CVE-2023-45141),详情如下:CVE-2023-45141:Fiber CSRF令牌验证漏洞(高危)该漏洞源于应用程序内CSRF令牌验证和执行不当,可能导致令...
关于Milesight路由器信息泄露漏洞(CVE-2023-43261)的安全预警
关于Milesight路由器信息泄露漏洞(CVE-2023-43261)的安全预警一、 基本情况Milesight是一家知名的物联网和视频监控产品制造商。二、 漏洞描述Milesight 的多款工业蜂窝路由器中存在敏感信息泄露漏洞(CVE-2023-43261),其CVSS评分为7.5,目前该漏洞的细节及PoC已公开,且该漏洞可能已被利用。该漏洞源于配置错误,导致路由器系统启用目录列表,使日志文件(如httpd.log)可被公开访问。这些日志文件中包含管理员和其他用户的...
关于libcue内存损坏漏洞(CVE-2023-43641)的安全预警
关于libcue内存损坏漏洞(CVE-2023-43641)的安全预警一、 基本情况Libcue(Cue sheet parser library)是一个用于解析CUE文件(Cuesheet,光盘映/镜像辅助文件)的开源库,它集成到Tracker Miners文件元数据索引器中,默认情况下该索引器包含在GNOME中。GNOME 是一种在各种 Linux 发行版(例如 Debian、Ubuntu、Fedora、Red Hat Enterprise 和 SUSE Linux Enterprise)中广泛使用的桌面环境。二、 漏洞描述libcue 库中存在内存...
关于Exim代码执行漏洞(CVE-2023-42115)的安全预警
关于Exim代码执行漏洞(CVE-2023-42115)的安全预警一、 基本情况Exim是一款开源的邮件传输代理(MTA)软件,该软件主要被构建在类Unix操作系统上发送和接收电子邮件。二、 漏洞描述Exim发布安全公告,修复了Exim代码执行漏洞(CVE-2023-42115),该漏洞的CVSS评分为9.8。Exim在smtp 服务(默认侦听TCP 端口 25)中存在AUTH越界写入漏洞,由于对用户提供的数据缺乏适当验证,可能导致写入超过缓冲区的末尾,未经身份验证的远程...
关于通达OA SQL注入漏洞(CVE-2023-5019)的安全预警
关于通达OA SQL注入漏洞(CVE-2023-5019)的安全预警一、 基本情况通达OA(Office Anywhere网络智能办公系统)是由北京通达信科科技有限公司自主研发的协同办公自动化软件,是适合各个行业用户的综合管理办公平台。二、 漏洞描述通达OA存在一个SQL注入漏洞(CVE-2023-5019),其CVSSv3评分为6.5,目前该漏洞的PoC已公开。通达OA 11.10之前版本中存在SQL注入漏洞,由于对用户输入过滤不足,经过身份验证的威胁者可以利用general/...
关于Linux netfilter数组索引漏洞(CVE-2023-42753)的安全预警
关于Linux netfilter数组索引漏洞(CVE-2023-42753)的安全预警一、 基本情况Netfilter是Linux 2.4.x引入的一个子系统,它作为Linux底层包处理框架,提供一整套的hook函数的管理机制,可以用于对数据包进行过滤、修改、地址转换(SNAT/DNAT)等处理。二、 漏洞描述Linux netfilter 子系统中存在一个数组索引漏洞(CVE-2023-42753),其CVSSv3评分为7.0,目前该漏洞的细节及PoC已公开。Linux 内核的netfilter 子系统中存在数组索引...
关于Apache Struts 2拒绝服务漏洞(CVE-2023-41835)的安全预警
关于Apache Struts 2拒绝服务漏洞(CVE-2023-41835)的安全预警一、 基本情况Apache Struts 2是一个基于MVC设计模式的Web应用框架,可用于创建企业级Java web应用程序。二、 漏洞描述Apache Struts 2中修复了一个拒绝服务漏洞(CVE-2023-41835)。Apache Struts多个受影响版本中,当执行Multipart请求但某些字段超过maxStringLength 限制时,即使请求被拒绝,上传文件也会保留在 struts.multipart.saveDir 中,可利用该漏洞导致...
关于Windows Themes远程代码执行漏洞(CVE-2023-38146)的安全预警
关于Windows Themes远程代码执行漏洞(CVE-2023-38146)的安全预警一、 基本情况Windows主题是一种视觉模式,它预先定义了墙纸、图标、指针、屏幕保护程序、声音或任何颜色样式的集合,这些样式一起构成了PC的界面,用户也可以根据自己的喜好更改主题和自定义主题。二、 漏洞描述Windows主题远程代码执行漏洞(CVE-2023-38146,也称为ThemeBleed)的PoC在互联网上公开,该漏洞的CVSSv3评分为8.8,微软已在9月补丁日发布的更新中...