关于go-git拒绝服务漏洞(CVE-2023-49568)的安全预警
关于go-git拒绝服务漏洞(CVE-2023-49568)的安全预警一、 基本情况go-git是一个用Go语言编写的高度可扩展的 git 实现库。二、 漏洞描述go-git中修复了一个拒绝服务漏洞(CVE-2023-49568),其CVSS评分为7.5。该漏洞存在于go-git 4.0.0 - 5.11之前的版本中,威胁者可提供恶意制作的 Git 服务器响应来执行拒绝服务攻击,从而导致go-git 客户端资源耗尽。三、 影响范围4.0.0<= go-git版本< 5.11.0四、 修复建议目前该漏洞已经修复...
关于Apache OFBiz远程代码执行漏洞(CVE-2023-51467)的安全预警
关于Apache OFBiz远程代码执行漏洞(CVE-2023-51467)的安全预警一、 基本情况关于Apache OFBiz远程代码执行漏洞(CVE-2023-51467)的安全预警二、 漏洞描述Apache OFBiz中修复了一个远程代码执行漏洞(CVE-2023-51467)。Apache OFBiz版本 18.12.11之前存在漏洞,远程威胁者可构造恶意请求绕过身份验证,利用后台相关接口功能执行groovy代码,执行任意命令。此外,Apache OFBiz中还修复了一个任意文件属性读取和SSRF漏洞(CVE-...
关于Apache Guacamole整数溢出漏洞(CVE-2023-43826)的安全预警
关于Apache Guacamole整数溢出漏洞(CVE-2023-43826)的安全预警一、 基本情况Apache Guacamole是一个无客户端的远程桌面网关,它支持众多标准管理协议,如 VNC、RDP、SSH 等。二、 漏洞描述Apache Guacamole中修复了一个整数溢出漏洞(CVE-2023-43826),该漏洞的CVSS评分为7.5。Apache Guacamole 1.5.3及之前版本不能正确处理从VNC Server接收的特制数据,在处理VNC图像缓冲区时可能出现整数溢出。如果用户连接到恶意或受感染...
关于Google Chrome WebRTC堆缓冲区溢出漏洞(CVE-2023-7024)的安全预警
关于Google Chrome WebRTC堆缓冲区溢出漏洞(CVE-2023-7024)的安全预警一、 基本情况WebRTC (Web Real-Time Communication)是一个由Google发起的实时通信开源项目,通过应用程序编程接口(API) 为Web 浏览器和移动应用程序提供实时通信(RTC) 。它允许直接点对点通信,从而允许音频和视频通信在网页内进行,无需安装插件或下载本地应用程序。支持WebRTC的浏览器和系统包括Microsoft Edge、Google Chrome(PC及Android)、Mozilla...
关于WordPress Backup & Migration远程代码执行漏洞(CVE-2023-6553)的安全预警
关于WordPress Backup & Migration远程代码执行漏洞(CVE-2023-6553)的安全预警一、 基本情况Backup & Migration是一个安装量超过 90,000 次WordPress 插件,可帮助管理员自动将网站备份到本地存储或 Google 云端硬盘帐户。二、 漏洞描述WordPress Backup & Migration中存在一个远程代码执行漏洞(CVE-2023-6553),该漏洞的CVSSv3评分为9.8。WordPress Backup & Migration 1.3.7 及之前版本中,由于威胁者可以控制传递给inclu...
关于Google Chrome V8类型混淆漏洞(CVE-2023-6702)的安全预警
关于Google Chrome V8类型混淆漏洞(CVE-2023-6702)的安全预警一、 基本情况Chrome V8 引擎是Google 开源的一款高性能JavaScript 引擎,主要用于 Chrome 浏览器和 Node.js 环境中解析和执行 JavaScript 代码。二、 漏洞描述Google发布安全公告,修复了Chrome中的一个类型混淆漏洞(CVE-2023-6702)。该漏洞存在于Chrome V8 JavaScript 引擎中,由于异步堆栈跟踪未能正确处理Closure(闭包)运行的情况从而存在类型混淆漏洞,可...
关于Android远程代码执行漏洞(CVE-2023-40088)的安全预警
关于Android远程代码执行漏洞(CVE-2023-40088)的安全预警一、 基本情况Android发布了12月安全更新,修复了多个影响 Android 设备的安全漏洞,其中包括一个零点击远程代码执行漏洞(CVE-2023-40088)。二、 漏洞描述该漏洞存在于在 Android系统组件中,由于在com_android_bluetooth_btservice_AdapterService.cpp的callback_thread_event中存在释放后使用,可能导致内存损坏。可利用该漏洞导致远程代码执行,而无需用户交互。...
关于GitLab跨站脚本漏洞(CVE-2023-6033)的安全预警
关于GitLab跨站脚本漏洞(CVE-2023-6033)的安全预警一、 基本情况GitLab是一个用于仓库管理系统的开源项目,其使用Git作为代码管理工具,可通过Web界面访问公开或私人项目。二、 漏洞描述GitLab官方发布更新公告,修复了GitLab 社区版 (CE)和企业版(EE)中的一个跨站脚本漏洞(CVE-2023-6033),该漏洞的CVSSv3评分为8.7。该漏洞源于GitLab CE/EE 中的 Jira 集成配置中的输入过滤不当,可能导致通过 Jira 的 Banzai 管道在M...
