关于R语言反序列化代码执行漏洞(CVE-2024-27322)的安全预警
关于R语言反序列化代码执行漏洞(CVE-2024-27322)的安全预警一、 基本情况R语言是一种用于统计计算、数据可视化和机器学习的开源编程语言和软件环境。二、 漏洞描述R编程语言中存在一个反序列化漏洞(CVE-2024-27322),其CVSS评分为8.8,目前该漏洞的细节已公开。R统计编程语言1.4.0 - 4.4.0之前存在反序列化漏洞,该漏洞涉及R中 Promise 对象和惰性求值的使用,威胁者可以创建恶意RDS(R数据序列化,.rds)、.rdx 等格式的文...
关于Zabbix Server SQL注入漏洞(CVE-2024-22120)的安全预警
关于Zabbix Server SQL注入漏洞(CVE-2024-22120)的安全预警一、 基本情况Zabbix是一个基于WEB界面的提供分布式系统监视以及网络监视功能的企业级开源监控解决方案,可以用来监控服务器、硬件、网络等。二、 漏洞描述Zabbix Server组件中修复了一个SQL注入漏洞(CVE-2024-22120),其CVSS评分为9.1,目前该漏洞的PoC已公开。Zabbix多个受影响版本中存在SQL注入漏洞,该漏洞存在于audit.c的zbx_auditlog_global_script函数中,...
关于Oracle MySQL拒绝服务漏洞(CNVD-2024-19009)的预警提示
一、漏洞详情Oracle MySQL是美国甲骨文(Oracle)公司的一套开源的关系数据库管理系统。Oracle MySQL的MySQL Server存在安全漏洞。攻击者可利用该漏洞导致MySQL服务器挂起或频繁重复崩溃。建议受影响用户做好资产自查以及预防工作,以免遭受黑客攻击。二、影响范围Oracle MySQL <=8.0.36Oracle MySQL <=8.3.0三、修复建议厂商已发布了漏洞修复程序,请及时关注更新
关于kkFileView文件上传代码执行漏洞的安全预警
一、 基本情况kkFileView是使用spring boot搭建的文档在线预览解决方案,能够支持多种主流办公文档的在线预览,如doc、docx、xls、xlsx、ppt、pptx、pdf、txt、zip、rar等格式。此外,它还可以预览图片、视频、音频等多种类型的文件。二、 漏洞描述kkFileView受影响版中的文件上传功能在处理压缩包时存在安全问题,威胁者可上传包含恶意代码的zip压缩包,覆盖系统文件,并可通过调用被覆盖的文件实现远程代码执行。三、 影响范...
关于IP-guard WebServer权限绕过漏洞的预警提示
关于IP-guard WebServer权限绕过漏洞的预警提示一、漏洞详情IP-guard是一款终端安全管理软件。近日,监测到互联网上披露IP-guard WebServer权限绕过漏洞。IP-guard WebServer < 4.82.0609.0 存在权限绕过漏洞,由于权限验证机制中存在设计缺陷,导致可以绕过权限验证,通过后端接口进行任意文件读取、删除操作。建议受影响用户做好资产自查以及预防工作,以免遭受黑客攻击。二、影响范围IP-guard < 4.82.0609.0三、修复建议目前...
关于禅道项目管理系统身份认证绕过漏洞的预警提示
关于禅道项目管理系统身份认证绕过漏洞的预警提示一、漏洞详情禅道项目管理软件是国产的开源项目管理软件。禅道项目管理系统存在身份认证绕过漏洞,远程攻击者利用该漏洞可以绕过身份认证,调用任意API接口并修改管理员用户的密码,并以管理员用户登录该系统,配合其他漏洞进一步利用后,可以实现完全接管服务器。建议受影响用户做好资产自查以及预防工作,以免遭受黑客攻击。二、影响范围16.x <= 禅道项目管理系统< 18.12(开...
关于WordPress Forminator插件文件上传漏洞(CVE-2024-28890)的安全预警
关于WordPress Forminator插件文件上传漏洞(CVE-2024-28890)的安全预警一、 基本情况Forminator是一款易于使用的WordPress表单构建器插件,该插件的活跃安装量超过500,000。二、 漏洞描述Forminator插件中存在一个文件上传漏洞(CVE-2024-28890),其CVSS评分为9.8。由于Forminator 1.29.0 之前的版本在文件上传过程中文件验证不充分,可能导致远程威胁者在使用该插件的网站上上传恶意文件,从而可能获取敏感信息、破坏站点并...
关于Cisco IMC命令注入漏洞(CVE-2024-20356)的安全预警
关于Cisco IMC命令注入漏洞(CVE-2024-20356)的安全预警一、 基本情况Cisco Integrated Management Controller(简称IMC)是一种底板管理控制器,用于通过多个接口管理 UCS C系列机架和UCS S系列存储服务器,包括 XML API、Web (WebUI) 和命令行 (CLI) 接口。二、 漏洞描述Cisco IMC命令注入漏洞(CVE-2024-20356,CVSS评分8.7)的PoC/EXP在互联网上公开。由于对用户提供的输入验证不足,思科集成管理控制器 (IMC) 基于Web的管...
