关于Google Chrome释放后使用漏洞(CVE-2023-5472)的安全预警
关于Google Chrome释放后使用漏洞(CVE-2023-5472)的安全预警一、 基本情况Google Chrome是由Google公司开发的一款网页浏览器。二、 漏洞描述Google发布安全公告,修复了Chrome中的一个释放后使用漏洞(CVE-2023-5472)。Google Chrome版本118.0.5993.117之前在Profiles中存在Use-After-Free(UAF)漏洞,远程威胁者可以通过恶意设计的HTML页面利用该漏洞,成功利用可能导致代码执行、拒绝服务或数据损坏等。三、 影响范围Goog...
关于Apache HTTP Server越界读取漏洞(CVE-2023-31122)的安全预警
关于Apache HTTP Server越界读取漏洞(CVE-2023-31122)的安全预警一、 基本情况Apache HTTP Server是Apache软件基金会的一个开放源代码的网页服务器,由于其具有跨平台性和安全性,被广泛使用,它是最流行的Web服务器端软件之一。二、 漏洞描述Apache HTTP Server中修复了一个越界读取漏洞(CVE-2023-31122),其CVSSv3评分为9.1。该漏洞存在于Apache HTTP Server 的 mod_macro 模块中,由于在处理超长的宏时,不会添加空字节...
关于Cisco IOS XE Web UI权限提升漏洞(CVE-2023-20198)的安全预警
关于Cisco IOS XE Web UI权限提升漏洞(CVE-2023-20198)的安全预警一、 基本情况Cisco IOS(Internetwork Operating System,简称IOS)是思科公司(Cisco System)为其网络设备开发的操作维护系统。IOS XE是思科IOS操作系统的一种,Cisco IOS XE Web UI 是一种基于 GUI 的嵌入式系统管理工具,能够提供系统配置、简化系统部署和可管理性,并增强用户体验。二、 漏洞描述Cisco修复了Cisco IOS XE 软件 Web UI 功能中的2个漏洞,...
关于Apache InLong反序列化漏洞(CVE-2023-46227)的安全预警
关于Apache InLong反序列化漏洞(CVE-2023-46227)的安全预警一、 基本情况Apache InLong是一站式、全场景的海量数据集成框架,同时支持数据接入、数据同步和数据订阅,提供自动、安全、可靠和高性能的数据传输能力,方便业务构建基于流式的数据分析、建模和应用。二、 漏洞描述Apache InLong中修复了一个反序列化漏洞(CVE-2023-46227)。Apache InLong版本1.4.0 - 1.8.0中,由于对用户输入的MySQL JDBC URL过滤不严,导致可以...
关于Fiber跨站请求伪造漏洞(CVE-2023-45128)的安全预警
关于Fiber跨站请求伪造漏洞(CVE-2023-45128)的安全预警一、 基本情况Fiber是一个用Go编写的Web 框架,建立在Go最快的HTTP引擎Fasthttp之上,其设计目的是通过零内存分配和高性能来简化快速开发。二、 漏洞描述Fiber中修复了CSRF令牌注入和重用漏洞(CVE-2023-45128)和CSRF令牌验证漏洞(CVE-2023-45141),详情如下:CVE-2023-45141:Fiber CSRF令牌验证漏洞(高危)该漏洞源于应用程序内CSRF令牌验证和执行不当,可能导致令...
关于Milesight路由器信息泄露漏洞(CVE-2023-43261)的安全预警
关于Milesight路由器信息泄露漏洞(CVE-2023-43261)的安全预警一、 基本情况Milesight是一家知名的物联网和视频监控产品制造商。二、 漏洞描述Milesight 的多款工业蜂窝路由器中存在敏感信息泄露漏洞(CVE-2023-43261),其CVSS评分为7.5,目前该漏洞的细节及PoC已公开,且该漏洞可能已被利用。该漏洞源于配置错误,导致路由器系统启用目录列表,使日志文件(如httpd.log)可被公开访问。这些日志文件中包含管理员和其他用户的...
关于libcue内存损坏漏洞(CVE-2023-43641)的安全预警
关于libcue内存损坏漏洞(CVE-2023-43641)的安全预警一、 基本情况Libcue(Cue sheet parser library)是一个用于解析CUE文件(Cuesheet,光盘映/镜像辅助文件)的开源库,它集成到Tracker Miners文件元数据索引器中,默认情况下该索引器包含在GNOME中。GNOME 是一种在各种 Linux 发行版(例如 Debian、Ubuntu、Fedora、Red Hat Enterprise 和 SUSE Linux Enterprise)中广泛使用的桌面环境。二、 漏洞描述libcue 库中存在内存...
关于Exim代码执行漏洞(CVE-2023-42115)的安全预警
关于Exim代码执行漏洞(CVE-2023-42115)的安全预警一、 基本情况Exim是一款开源的邮件传输代理(MTA)软件,该软件主要被构建在类Unix操作系统上发送和接收电子邮件。二、 漏洞描述Exim发布安全公告,修复了Exim代码执行漏洞(CVE-2023-42115),该漏洞的CVSS评分为9.8。Exim在smtp 服务(默认侦听TCP 端口 25)中存在AUTH越界写入漏洞,由于对用户提供的数据缺乏适当验证,可能导致写入超过缓冲区的末尾,未经身份验证的远程...