关于Reactor Netty目录遍历漏洞(CVE-2023-34062)的安全预警
关于Reactor Netty目录遍历漏洞(CVE-2023-34062)的安全预警一、 基本情况Reactor Netty是一个异步事件驱动的网络应用程序框架,提供了非阻塞且支持背压的TCP/HTTP/UDP/ QUIC客户端和服务器,它基于Netty框架。如果在 Spring Boot 应用程序中使用 WebFlux,Spring Boot 会自动将 Reactor Netty 配置为默认服务器。二、 漏洞描述Reactor Netty HTTP Server中存在目录遍历漏洞(CVE-2023-34062),该漏洞的CVSSv3评分为7.5。当Re...
关于Apache Shiro开放重定向漏洞(CVE-2023-46750)的安全预警
关于Apache Shiro开放重定向漏洞(CVE-2023-46750)的安全预警一、 基本情况Apache Shiro是一个功能强大且易于使用的 Java 安全框架,可以执行身份验证、授权、加密和会话管理。二、 漏洞描述Apache Shiro中修复了一个开放重定向漏洞(CVE-2023-46750)。Apache Shiro受影响版本中,当使用表单(form)身份验证时,存在开放重定向漏洞,可利用该漏洞将受害者的URL重定向到恶意站点,成功利用该漏洞可能导致网络钓鱼、窃取用户敏...
关于Apache ActiveMQ远程代码执行漏洞(CVE-2023-46604)的安全预警
关于Apache ActiveMQ远程代码执行漏洞(CVE-2023-46604)的安全预警一、 基本情况ActiveMQ是Apache软件基金会所研发的开源消息中间件,为应用程序提供高效的、可扩展的、稳定的、安全的企业级消息通信。二、 漏洞描述Apache ActiveMQ中修复了一个远程代码执行漏洞(CVE-2023-46604),其CVSSv3评分为10.0。目前该漏洞的细节及PoC/EXP已经公开披露,且已发现被利用。Apache ActiveMQ中存在远程代码执行漏洞,远程威胁者可构造恶...
关于Redis RedisGraph代码执行漏洞(CVE-2023-47004)的安全预警
关于Redis RedisGraph代码执行漏洞(CVE-2023-47004)的安全预警一、 基本情况RedisGraph是高性能内存数据库Redis的图形数据库模块,它由Redis Labs开发,用于向Redis添加图形数据库功能。二、 漏洞描述RedisGraph中修复了一个缓冲区溢出漏洞(CVE-2023-47004)。由于对字符串数组的长度缺乏正确计算,经过身份验证的威胁者可以通过构造包含字符串数组的恶意请求,导致缓冲区溢出,成功利用该漏洞可能导致在易受攻击的 Redis实...
关于Google Chrome释放后使用漏洞(CVE-2023-5472)的安全预警
关于Google Chrome释放后使用漏洞(CVE-2023-5472)的安全预警一、 基本情况Google Chrome是由Google公司开发的一款网页浏览器。二、 漏洞描述Google发布安全公告,修复了Chrome中的一个释放后使用漏洞(CVE-2023-5472)。Google Chrome版本118.0.5993.117之前在Profiles中存在Use-After-Free(UAF)漏洞,远程威胁者可以通过恶意设计的HTML页面利用该漏洞,成功利用可能导致代码执行、拒绝服务或数据损坏等。三、 影响范围Goog...
关于Apache HTTP Server越界读取漏洞(CVE-2023-31122)的安全预警
关于Apache HTTP Server越界读取漏洞(CVE-2023-31122)的安全预警一、 基本情况Apache HTTP Server是Apache软件基金会的一个开放源代码的网页服务器,由于其具有跨平台性和安全性,被广泛使用,它是最流行的Web服务器端软件之一。二、 漏洞描述Apache HTTP Server中修复了一个越界读取漏洞(CVE-2023-31122),其CVSSv3评分为9.1。该漏洞存在于Apache HTTP Server 的 mod_macro 模块中,由于在处理超长的宏时,不会添加空字节...
关于Cisco IOS XE Web UI权限提升漏洞(CVE-2023-20198)的安全预警
关于Cisco IOS XE Web UI权限提升漏洞(CVE-2023-20198)的安全预警一、 基本情况Cisco IOS(Internetwork Operating System,简称IOS)是思科公司(Cisco System)为其网络设备开发的操作维护系统。IOS XE是思科IOS操作系统的一种,Cisco IOS XE Web UI 是一种基于 GUI 的嵌入式系统管理工具,能够提供系统配置、简化系统部署和可管理性,并增强用户体验。二、 漏洞描述Cisco修复了Cisco IOS XE 软件 Web UI 功能中的2个漏洞,...
关于Apache InLong反序列化漏洞(CVE-2023-46227)的安全预警
关于Apache InLong反序列化漏洞(CVE-2023-46227)的安全预警一、 基本情况Apache InLong是一站式、全场景的海量数据集成框架,同时支持数据接入、数据同步和数据订阅,提供自动、安全、可靠和高性能的数据传输能力,方便业务构建基于流式的数据分析、建模和应用。二、 漏洞描述Apache InLong中修复了一个反序列化漏洞(CVE-2023-46227)。Apache InLong版本1.4.0 - 1.8.0中,由于对用户输入的MySQL JDBC URL过滤不严,导致可以...