关于Google Chrome V8实现不当漏洞(CVE-2024-7965)的安全预警
关于Google Chrome V8实现不当漏洞(CVE-2024-7965)的安全预警一、 基本情况Google Chrome是由Google公司开发的一款网页浏览器。V8是由Google 开源的一个高性能JavaScript 引擎,被广泛应用于各种 JavaScript 执行环境,如Chrome 浏览器、Node.js等。二、 漏洞描述Google Chrome V8实现不当漏洞(CVE-2024-7965)的技术细节及PoC在互联网上公开,目前该漏洞已发现被利用。Google Chrome 128.0.6613.84之前版本在V8 JavaScript...
关于GitLab SAML身份验证绕过漏洞(CVE-2024-45409)的安全预警
关于GitLab SAML身份验证绕过漏洞(CVE-2024-45409)的安全预警一、 基本情况GitLab是一个用于仓库管理系统的开源项目,其使用Git作为代码管理工具,可以通过Web界面访问公开或私人项目。SAML(Security Assertion Markup Language,安全断言标记语言)是一种基于XML的标准,用于在不同的安全域之间交换认证和授权数据,它被广泛应用于单点登录(SSO)解决方案。二、 漏洞描述GitLab中修复了一个SAML身份验证绕过漏洞(CVE-2024...
关于GitLab访问控制不当漏洞(CVE-2024-6678)的安全预警
关于GitLab访问控制不当漏洞(CVE-2024-6678)的安全预警一、 基本情况GitLab是一个用于仓库管理系统的开源项目,其使用Git作为代码管理工具,可通过Web界面访问公开或私人项目。二、 漏洞描述GitLab社区版(CE)和企业版(EE)中修复了一个访问控制不当漏洞(CVE-2024-6678),其CVSS评分为9.9,允许威胁者在某些情况下以任意用户身份触发GitLab的CI/CD管道,从而可能导致权限提升或执行恶意操作。此外,GitLab EE中还修复了Pr...
关于Adobe ColdFusion远程代码执行漏洞(CVE-2024-41874)的安全预警
关于Adobe ColdFusion远程代码执行漏洞(CVE-2024-41874)的安全预警一、 基本情况Adobe ColdFusion 是一种商业化的开发平台,主要用于创建和维护动态网页和Web应用程序。二、 漏洞描述Adobe发布安全公告,修复了Adobe ColdFusion远程代码执行漏洞(CVE-2024-41874),该漏洞的CVSS评分为9.8。ColdFusion 2023 Update 9及之前版本、ColdFusion 2021 Update 15及之前版本中存在反序列化漏洞,可能导致未经身份验证的远程威胁者通...
关于Zyxel AP设备命令注入漏洞(CVE-2024-7261)的安全预警
关于Zyxel AP设备命令注入漏洞(CVE-2024-7261)的安全预警一、 基本情况合勤科技(ZyXEL)是国际著名的网络宽带系统及解决方案供应商。二、 漏洞描述Zyxel发布安全公告,修复了某些接入点(AP)和安全路由器设备中的OS命令注入漏洞(CVE-2024-7261),该漏洞的CVSS评分为9.8。Zyxel多款AP设备和安全路由器版本的CGI(通用网关接口)程序对host参数中的特殊元素(如某些字符或字符串)清理不当,可能导致未经身份验证的威胁者向...
关于Apache OFBiz服务器端请求伪造漏洞(CVE-2024-45507)的安全预警
关于Apache OFBiz服务器端请求伪造漏洞(CVE-2024-45507)的安全预警一、 基本情况Apache OFBiz是一个著名的电子商务平台,提供了创建基于最新J2EE/ XML规范和技术标准,构建大中型企业级、跨平台、跨数据库、跨应用服务器的多层、分布式电子商务类WEB应用系统的框架。二、 漏洞描述Apache OFBiz中修复了一个服务器端请求伪造漏洞(CVE-2024-45507)。Apache OFBiz 18.12.16 之前版本中,在从Java或Groovy代码中加载文件时没有...
关于Google Chrome V8类型混淆漏洞(CVE-2024-7971)的预警提示
一、漏洞详情Chrome是一款由Google公司开发的免费的、快速的互联网浏览器软件。近日,监测到Google发布公告称Google Chrome V8类型混淆漏洞(CVE-2024-7971)存在在野利用,远程攻击者可通过诱导用户打开恶意链接来利用此漏洞,从而获取敏感信息或代码执行。建议受影响用户做好资产自查以及预防工作,以免遭受黑客攻击。二、影响范围Google Chrome(Windows/Mac) < 128.0.6613.84/.85Google Chrome(Linux) < 128.0.6613.84三、修复...
关于泛微e-cology产品H2组件远程命令执行漏洞(CNVD-2024-36084)的预警提示
一、漏洞详情e-cology是泛微为中大型组织创建的高效协同办公系统。泛微网络科技股份有限公司e-cology产品H2组件存在远程命令执行漏洞,该漏洞允许通过e-cology-10.01前台获取管理员访问令牌,然后利用JDBC反序列化,攻击者可利用该漏洞实现远程代码执行。建议受影响用户做好资产自查以及预防工作,以免遭受黑客攻击。二、影响范围e-cology <v10.69三、修复建议可参考如下安全公告获得补丁信息:https://www.weaver.com.cn/cs/se...
