关于buildah容器逃逸漏洞(CVE-2024-1753)的安全预警
关于buildah容器逃逸漏洞(CVE-2024-1753)的安全预警一、 基本情况Buildah是一款基于Linux 的开源工具,用于构建兼容开发容器计划(OCI)的容器。二、 漏洞描述buildah中修复了一个容器逃逸漏洞(CVE-2024-1753),该漏洞的CVSS评分为8.6,目前该漏洞的利用细节已公开。Buildah 1.35.1版本之前存在漏洞,可能导致容器将主机文件系统上的任意位置挂载到构建容器中。威胁者可通过恶意 Containerfile使用带有指向 / 文件系统的符...
关于GitHub Enterprise Server命令注入漏洞(CVE-2024-2443)的安全预警
关于GitHub Enterprise Server命令注入漏洞(CVE-2024-2443)的安全预警一、 基本情况GitHub Enterprise Server 是一个用于企业内软件开发的自托管平台,团队可使用 GitHub Enterprise Server 通过Git版本控制、强大的 API、生产力和协作工具以及集成来构建和发布软件。二、 漏洞描述GitHub Enterprise Server中修复了一个命令注入漏洞(CVE-2024-2443),该漏洞的CVSS评分为9.1。GitHub Enterprise Server多个受影响版本中存在...
关于Progress OpenEdge身份验证绕过漏洞(CVE-2024-1403)的安全预警
关于Progress OpenEdge身份验证绕过漏洞(CVE-2024-1403)的安全预警一、 基本情况Progress OpenEdge是一个应用程序开发和部署平台套件。OpenEdge Authentication Gateway (OEAG) 身份验证网关可通过强化 OpenEdge 应用程序环境的安全性来确保可信身份管理。二、 漏洞描述Progress OpenEdge中修复了一个身份验证绕过漏洞(CVE-2024-1403,CVSSv3评分10.0),影响了OpenEdge平台的OEAG组件和AdminServer,目前该漏洞的细节及PoC...
关于Fortinet FortiOS & FortiProxy越界写入漏洞(CVE-2024-21762)的安全预警
关于Fortinet FortiOS & FortiProxy越界写入漏洞(CVE-2024-21762)的安全预警一、 基本情况FortiOS是美国飞塔(Fortinet)公司开发的一套专用于FortiGate网络安全平台上的安全操作系统,该系统为用户提供防火墙、防病毒、VPN、Web内容过滤和反垃圾邮件等多种安全功能。FortiProxy是Fortinet推出的一款高性能代理产品,它结合了Web过滤、DNS过滤、DLP、反病毒、入侵防御和高级威胁保护等多种检测技术,以保护用户免受网络攻击。...
关于VMware ESXi & Workstation & Fusion释放后使用漏洞(CVE-2024-22252)的安全预警
关于VMware ESXi & Workstation & Fusion释放后使用漏洞(CVE-2024-22252)的安全预警一、 基本情况VMware是一家提供虚拟化解决方案的软件公司,它提供了多个虚拟化产品,其中包括VMware ESXi虚拟化操作系统、VMware Workstation、VMware vSphere™虚拟化平台,以及各种管理和监控工具等。二、 漏洞描述VMware ESXi 、Workstation 和Fusion的XHCI USB控制器和UHCI USB 控制器中分别存在2个释放后使用漏洞(CVE-2024-22252和CVE-...
关于JetBrains TeamCity身份验证绕过漏洞(CVE-2024-27198)的安全预警
关于JetBrains TeamCity身份验证绕过漏洞(CVE-2024-27198)的安全预警一、 基本情况TeamCity是JetBrains旗下的一款功能强大的持续集成(Continuous Integration,简称CI)工具,包括服务器端和客户端。默认情况下,TeamCity 通过 HTTP 端口8111公开Web 服务器,并且可以选择配置为通过 HTTPS 运行。二、 漏洞描述TeamCity On-Premises中修复了一个身份验证绕过漏洞(CVE-2024-27198),其CVSS评分为9.8,目前该漏洞的细节及PoC...
关于WordPress Brick Builder远程代码执行漏洞(CVE-2024-25600)的安全预警
关于WordPress Brick Builder远程代码执行漏洞(CVE-2024-25600)的安全预警一、 基本情况Bricks Builder主题是一个创新的、社区驱动的、可视化的 WordPress 网站构建器Bricks Builder(高级版)主题目前拥有约 25,000 个有效安装。二、 漏洞描述Bricks Builder中存在一个远程代码执行漏洞(CVE-2024-25600),其CVSS评分为9.8,目前该漏洞的技术细节及PoC已经公开披露,且已检测到漏洞利用。WordPress Brick Builder 1.9.6及之...
关于Aiohttp路径遍历漏洞(CVE-2024-23334)的安全预警
关于Aiohttp路径遍历漏洞(CVE-2024-23334)的安全预警一、 基本情况Aiohttp是一个适用于asyncio 和 Python 的异步HTTP客户端/服务器框架。二、 漏洞描述Aiohttp中存在一个路径遍历漏洞(CVE-2024-23334),其CVSS评分为7.5,目前该漏洞的细节及PoC已公开。Aiohttp受影响版本中,当使用aiohttp作为web服务器并配置静态路由时,需要指定静态文件的根路径。选项“follow_symlinks”可用于确定是否遵循静态根目录之外的符号链接,...
