关于Apache ActiveMQ远程代码执行漏洞(CVE-2023-46604)的安全预警
关于Apache ActiveMQ远程代码执行漏洞(CVE-2023-46604)的安全预警一、 基本情况ActiveMQ是Apache软件基金会所研发的开源消息中间件,为应用程序提供高效的、可扩展的、稳定的、安全的企业级消息通信。二、 漏洞描述Apache ActiveMQ中修复了一个远程代码执行漏洞(CVE-2023-46604),其CVSSv3评分为10.0。目前该漏洞的细节及PoC/EXP已经公开披露,且已发现被利用。Apache ActiveMQ中存在远程代码执行漏洞,远程威胁者可构造恶...
关于Redis RedisGraph代码执行漏洞(CVE-2023-47004)的安全预警
关于Redis RedisGraph代码执行漏洞(CVE-2023-47004)的安全预警一、 基本情况RedisGraph是高性能内存数据库Redis的图形数据库模块,它由Redis Labs开发,用于向Redis添加图形数据库功能。二、 漏洞描述RedisGraph中修复了一个缓冲区溢出漏洞(CVE-2023-47004)。由于对字符串数组的长度缺乏正确计算,经过身份验证的威胁者可以通过构造包含字符串数组的恶意请求,导致缓冲区溢出,成功利用该漏洞可能导致在易受攻击的 Redis实...
关于Google Chrome释放后使用漏洞(CVE-2023-5472)的安全预警
关于Google Chrome释放后使用漏洞(CVE-2023-5472)的安全预警一、 基本情况Google Chrome是由Google公司开发的一款网页浏览器。二、 漏洞描述Google发布安全公告,修复了Chrome中的一个释放后使用漏洞(CVE-2023-5472)。Google Chrome版本118.0.5993.117之前在Profiles中存在Use-After-Free(UAF)漏洞,远程威胁者可以通过恶意设计的HTML页面利用该漏洞,成功利用可能导致代码执行、拒绝服务或数据损坏等。三、 影响范围Goog...
关于Apache HTTP Server越界读取漏洞(CVE-2023-31122)的安全预警
关于Apache HTTP Server越界读取漏洞(CVE-2023-31122)的安全预警一、 基本情况Apache HTTP Server是Apache软件基金会的一个开放源代码的网页服务器,由于其具有跨平台性和安全性,被广泛使用,它是最流行的Web服务器端软件之一。二、 漏洞描述Apache HTTP Server中修复了一个越界读取漏洞(CVE-2023-31122),其CVSSv3评分为9.1。该漏洞存在于Apache HTTP Server 的 mod_macro 模块中,由于在处理超长的宏时,不会添加空字节...
关于Cisco IOS XE Web UI权限提升漏洞(CVE-2023-20198)的安全预警
关于Cisco IOS XE Web UI权限提升漏洞(CVE-2023-20198)的安全预警一、 基本情况Cisco IOS(Internetwork Operating System,简称IOS)是思科公司(Cisco System)为其网络设备开发的操作维护系统。IOS XE是思科IOS操作系统的一种,Cisco IOS XE Web UI 是一种基于 GUI 的嵌入式系统管理工具,能够提供系统配置、简化系统部署和可管理性,并增强用户体验。二、 漏洞描述Cisco修复了Cisco IOS XE 软件 Web UI 功能中的2个漏洞,...
关于Apache InLong反序列化漏洞(CVE-2023-46227)的安全预警
关于Apache InLong反序列化漏洞(CVE-2023-46227)的安全预警一、 基本情况Apache InLong是一站式、全场景的海量数据集成框架,同时支持数据接入、数据同步和数据订阅,提供自动、安全、可靠和高性能的数据传输能力,方便业务构建基于流式的数据分析、建模和应用。二、 漏洞描述Apache InLong中修复了一个反序列化漏洞(CVE-2023-46227)。Apache InLong版本1.4.0 - 1.8.0中,由于对用户输入的MySQL JDBC URL过滤不严,导致可以...
关于Fiber跨站请求伪造漏洞(CVE-2023-45128)的安全预警
关于Fiber跨站请求伪造漏洞(CVE-2023-45128)的安全预警一、 基本情况Fiber是一个用Go编写的Web 框架,建立在Go最快的HTTP引擎Fasthttp之上,其设计目的是通过零内存分配和高性能来简化快速开发。二、 漏洞描述Fiber中修复了CSRF令牌注入和重用漏洞(CVE-2023-45128)和CSRF令牌验证漏洞(CVE-2023-45141),详情如下:CVE-2023-45141:Fiber CSRF令牌验证漏洞(高危)该漏洞源于应用程序内CSRF令牌验证和执行不当,可能导致令...
关于Milesight路由器信息泄露漏洞(CVE-2023-43261)的安全预警
关于Milesight路由器信息泄露漏洞(CVE-2023-43261)的安全预警一、 基本情况Milesight是一家知名的物联网和视频监控产品制造商。二、 漏洞描述Milesight 的多款工业蜂窝路由器中存在敏感信息泄露漏洞(CVE-2023-43261),其CVSS评分为7.5,目前该漏洞的细节及PoC已公开,且该漏洞可能已被利用。该漏洞源于配置错误,导致路由器系统启用目录列表,使日志文件(如httpd.log)可被公开访问。这些日志文件中包含管理员和其他用户的...