关于WordPress LayerSlider插件SQL注入漏洞(CVE-2024-2879)的安全预警
关于WordPress LayerSlider插件SQL注入漏洞(CVE-2024-2879)的安全预警一、 基本情况WordPress插件LayerSlider是一款可视化网页内容编辑器、图形设计软件和数字视觉效果应用程序,全球活跃安装量超过 1,000,000 次。二、 漏洞描述LayerSlider插件中存在一个SQL注入漏洞(CVE-2024-2879),其CVSS评分为9.8,目前该漏洞的技术细节已公开。LayerSlider插件版本7.9.11 – 7.10.0中,由于对用户提供的参数转义不充分以及缺少wpdb::...
关于XZ-Utils供应链后门漏洞(CVE-2024-3094)的安全预警
关于XZ-Utils供应链后门漏洞(CVE-2024-3094)的安全预警一、 基本情况XZ-Utils是Linux/Unix系统中用于处理.xz和.lzma文件的命令行压缩工具,集成了liblzma等组件。二、 漏洞描述国外安全研究员发布消息,在xz-utils软件包5.6.0到5.6.1版本中,存在供应链攻击及植入后门风险,漏洞编号为CVE-2024-3094,漏洞的CVSS评分为10.0。3月29日,微软PostgreSQL开发人员Andres Freund在调查SSH性能问题时,在开源安全邮件列表中发帖称,...
关于Adobe ColdFusion任意文件读取漏洞(CVE-2024-20767)的安全预警
关于Adobe ColdFusion任意文件读取漏洞(CVE-2024-20767)的安全预警一、 基本情况Adobe ColdFusion是一个商用的应用程序开发平台,包括一个集成开发环境以及功能全面的脚本语言,支持CFML(ColdFusion Markup Language)脚本语言。二、 漏洞描述Adobe ColdFusion任意文件读取漏洞(CVE-2024-20767)的PoC在互联网上公开,目前该漏洞的漏洞细节已公开。Adobe ColdFusion 2023 Update 6及之前版本、ColdFusion 2021 Update 12及...
关于Firefox越界写入漏洞(CVE-2024-29943)的安全预警
关于Firefox越界写入漏洞(CVE-2024-29943)的安全预警一、 基本情况Mozilla Firefox是一个由Mozilla开发的开放源代码的网页浏览器,支持桌面版(Windows、Mac及Linux平台)、Android 版、iOS版等多种版本。二、 漏洞描述Firefox中修复了一个越界写入漏洞(CVE-2024-29943),目前该漏洞已发现被利用。Firefox 124.0.1之前版本中,由于基于范围的边界检查消除过程中存在问题,威胁者可通过绕过预期安全检查的方式操纵 JavaScrip...
关于buildah容器逃逸漏洞(CVE-2024-1753)的安全预警
关于buildah容器逃逸漏洞(CVE-2024-1753)的安全预警一、 基本情况Buildah是一款基于Linux 的开源工具,用于构建兼容开发容器计划(OCI)的容器。二、 漏洞描述buildah中修复了一个容器逃逸漏洞(CVE-2024-1753),该漏洞的CVSS评分为8.6,目前该漏洞的利用细节已公开。Buildah 1.35.1版本之前存在漏洞,可能导致容器将主机文件系统上的任意位置挂载到构建容器中。威胁者可通过恶意 Containerfile使用带有指向 / 文件系统的符...
关于GitHub Enterprise Server命令注入漏洞(CVE-2024-2443)的安全预警
关于GitHub Enterprise Server命令注入漏洞(CVE-2024-2443)的安全预警一、 基本情况GitHub Enterprise Server 是一个用于企业内软件开发的自托管平台,团队可使用 GitHub Enterprise Server 通过Git版本控制、强大的 API、生产力和协作工具以及集成来构建和发布软件。二、 漏洞描述GitHub Enterprise Server中修复了一个命令注入漏洞(CVE-2024-2443),该漏洞的CVSS评分为9.1。GitHub Enterprise Server多个受影响版本中存在...
关于Progress OpenEdge身份验证绕过漏洞(CVE-2024-1403)的安全预警
关于Progress OpenEdge身份验证绕过漏洞(CVE-2024-1403)的安全预警一、 基本情况Progress OpenEdge是一个应用程序开发和部署平台套件。OpenEdge Authentication Gateway (OEAG) 身份验证网关可通过强化 OpenEdge 应用程序环境的安全性来确保可信身份管理。二、 漏洞描述Progress OpenEdge中修复了一个身份验证绕过漏洞(CVE-2024-1403,CVSSv3评分10.0),影响了OpenEdge平台的OEAG组件和AdminServer,目前该漏洞的细节及PoC...
关于Fortinet FortiOS & FortiProxy越界写入漏洞(CVE-2024-21762)的安全预警
关于Fortinet FortiOS & FortiProxy越界写入漏洞(CVE-2024-21762)的安全预警一、 基本情况FortiOS是美国飞塔(Fortinet)公司开发的一套专用于FortiGate网络安全平台上的安全操作系统,该系统为用户提供防火墙、防病毒、VPN、Web内容过滤和反垃圾邮件等多种安全功能。FortiProxy是Fortinet推出的一款高性能代理产品,它结合了Web过滤、DNS过滤、DLP、反病毒、入侵防御和高级威胁保护等多种检测技术,以保护用户免受网络攻击。...
