关于WordPress Brick Builder远程代码执行漏洞(CVE-2024-25600)的安全预警
关于WordPress Brick Builder远程代码执行漏洞(CVE-2024-25600)的安全预警一、 基本情况Bricks Builder主题是一个创新的、社区驱动的、可视化的 WordPress 网站构建器Bricks Builder(高级版)主题目前拥有约 25,000 个有效安装。二、 漏洞描述Bricks Builder中存在一个远程代码执行漏洞(CVE-2024-25600),其CVSS评分为9.8,目前该漏洞的技术细节及PoC已经公开披露,且已检测到漏洞利用。WordPress Brick Builder 1.9.6及之...
关于Aiohttp路径遍历漏洞(CVE-2024-23334)的安全预警
关于Aiohttp路径遍历漏洞(CVE-2024-23334)的安全预警一、 基本情况Aiohttp是一个适用于asyncio 和 Python 的异步HTTP客户端/服务器框架。二、 漏洞描述Aiohttp中存在一个路径遍历漏洞(CVE-2024-23334),其CVSS评分为7.5,目前该漏洞的细节及PoC已公开。Aiohttp受影响版本中,当使用aiohttp作为web服务器并配置静态路由时,需要指定静态文件的根路径。选项“follow_symlinks”可用于确定是否遵循静态根目录之外的符号链接,...
关于Spring Framework URL解析不当漏洞(CVE-2024-22243)的安全预警
关于Spring Framework URL解析不当漏洞(CVE-2024-22243)的安全预警一、 基本情况Spring Framework 是一个功能强大的 Java 应用程序框架,旨在提供高效且可扩展的开发环境。UriComponentsBuilder是Spring Framework 提供的一个实用工具类,用于构建和处理URI。二、 漏洞描述Spring Framework中修复了一个URL解析不当漏洞(CVE-2024-22243)。Spring Framework受影响版本中,由于UriComponentsBuilder中在处理URL 时未正确过滤...
关于ConnectWise ScreenConnect身份验证绕过漏洞(CVE-2024-1709)的安全预警
关于ConnectWise ScreenConnect身份验证绕过漏洞(CVE-2024-1709)的安全预警一、 基本情况ConnectWise ScreenConnect是一款快速、灵活且安全的远程桌面和访问软件,可随时随地连接到任何设备。二、 漏洞描述ConnectWise ScreenConnect中修复了一个身份验证绕过漏洞(CVE-2024-1709)和一个目录遍历漏洞(CVE-2024-1708),目前这些漏洞的技术细节及PoC已公开,且已发现被利用。CVE-2024-1709:ConnectWise ScreenConnect身份验...
关于QNAP QTS & QuTS Hero原型污染漏洞(CVE-2023-39296)的安全预警
关于QNAP QTS & QuTS Hero原型污染漏洞(CVE-2023-39296)的安全预警一、 基本情况QNAP Systems, Inc.(威联通科技)主要生产用于文件共享、虚拟化、存储管理和监控应用的网络附加存储(NAS)设备。二、 漏洞描述某些QNAP操作系统中修复了一个原型污染漏洞(CVE-2023-39296),其CVSSv3评分为7.5。该漏洞影响了QTS 和 QuTS Hero,可能导致远程威胁者使用类型不兼容的属性覆盖现有属性,从而可能导致系统崩溃。此外,QTS 和 QuTS...
关于GitPython代码执行漏洞(CVE-2024-22190)的安全预警
关于GitPython代码执行漏洞(CVE-2024-22190)的安全预警一、 基本情况GitPython 是一个用于与 Git存储库交互的 Python 库。二、 漏洞描述GitPython中修复了一个代码执行漏洞(CVE-2024-22190),其CVSSv3评分为7.8,目前该漏洞的细节及PoC已公开。该漏洞源于CVE-2023-40590 的修复不完善。在Windows 上,如果 GitPython 使用 shell 来运行git,以及当它运行bash.exe来解释hooks时,它会使用不受信任的搜索路径并可能执行在不受...
关于Apache InLong Manager远程代码执行漏洞(CVE-2023-51784)的安全预警
关于Apache InLong Manager远程代码执行漏洞(CVE-2023-51784)的安全预警一、 基本情况Apache InLong是一站式、全场景的海量数据集成框架,同时支持数据接入、数据同步和数据订阅,提供自动、安全、可靠和高性能的数据传输能力,方便业务构建基于流式的数据分析、建模和应用。二、 漏洞描述Apache InLong Manager组件中存在一个远程代码执行漏洞(CVE-2023-51784),其CVSS评分为9.8。Apache InLong版本1.5.0 - 1.9.0中,由于u...
关于Perl for Windows代码执行漏洞(CVE-2023-47039)的安全预警
关于Perl for Windows代码执行漏洞(CVE-2023-47039)的安全预警一、 基本情况Perl是一种功能丰富的计算机程序语言,可以运行在多种计算机平台上,适用广泛,可被用于各种任务,包括系统管理、Web开发、网络编程、GUI开发等。二、 漏洞描述Perl for Windows中修复了一个代码执行漏洞(CVE-2023-47039),其CVSS评分为7.8。Perl for Windows 受影响版本中依赖系统路径环境变量来查找 shell (`cmd.exe`) 时存在安全问题。当运行使...