关于Adobe ColdFusion任意文件读取漏洞(CVE-2024-20767)的安全预警
关于Adobe ColdFusion任意文件读取漏洞(CVE-2024-20767)的安全预警一、 基本情况Adobe ColdFusion是一个商用的应用程序开发平台,包括一个集成开发环境以及功能全面的脚本语言,支持CFML(ColdFusion Markup Language)脚本语言。二、 漏洞描述Adobe ColdFusion任意文件读取漏洞(CVE-2024-20767)的PoC在互联网上公开,目前该漏洞的漏洞细节已公开。Adobe ColdFusion 2023 Update 6及之前版本、ColdFusion 2021 Update 12及...
关于Firefox越界写入漏洞(CVE-2024-29943)的安全预警
关于Firefox越界写入漏洞(CVE-2024-29943)的安全预警一、 基本情况Mozilla Firefox是一个由Mozilla开发的开放源代码的网页浏览器,支持桌面版(Windows、Mac及Linux平台)、Android 版、iOS版等多种版本。二、 漏洞描述Firefox中修复了一个越界写入漏洞(CVE-2024-29943),目前该漏洞已发现被利用。Firefox 124.0.1之前版本中,由于基于范围的边界检查消除过程中存在问题,威胁者可通过绕过预期安全检查的方式操纵 JavaScrip...
关于buildah容器逃逸漏洞(CVE-2024-1753)的安全预警
关于buildah容器逃逸漏洞(CVE-2024-1753)的安全预警一、 基本情况Buildah是一款基于Linux 的开源工具,用于构建兼容开发容器计划(OCI)的容器。二、 漏洞描述buildah中修复了一个容器逃逸漏洞(CVE-2024-1753),该漏洞的CVSS评分为8.6,目前该漏洞的利用细节已公开。Buildah 1.35.1版本之前存在漏洞,可能导致容器将主机文件系统上的任意位置挂载到构建容器中。威胁者可通过恶意 Containerfile使用带有指向 / 文件系统的符...
关于GitHub Enterprise Server命令注入漏洞(CVE-2024-2443)的安全预警
关于GitHub Enterprise Server命令注入漏洞(CVE-2024-2443)的安全预警一、 基本情况GitHub Enterprise Server 是一个用于企业内软件开发的自托管平台,团队可使用 GitHub Enterprise Server 通过Git版本控制、强大的 API、生产力和协作工具以及集成来构建和发布软件。二、 漏洞描述GitHub Enterprise Server中修复了一个命令注入漏洞(CVE-2024-2443),该漏洞的CVSS评分为9.1。GitHub Enterprise Server多个受影响版本中存在...
关于Progress OpenEdge身份验证绕过漏洞(CVE-2024-1403)的安全预警
关于Progress OpenEdge身份验证绕过漏洞(CVE-2024-1403)的安全预警一、 基本情况Progress OpenEdge是一个应用程序开发和部署平台套件。OpenEdge Authentication Gateway (OEAG) 身份验证网关可通过强化 OpenEdge 应用程序环境的安全性来确保可信身份管理。二、 漏洞描述Progress OpenEdge中修复了一个身份验证绕过漏洞(CVE-2024-1403,CVSSv3评分10.0),影响了OpenEdge平台的OEAG组件和AdminServer,目前该漏洞的细节及PoC...
关于Fortinet FortiOS & FortiProxy越界写入漏洞(CVE-2024-21762)的安全预警
关于Fortinet FortiOS & FortiProxy越界写入漏洞(CVE-2024-21762)的安全预警一、 基本情况FortiOS是美国飞塔(Fortinet)公司开发的一套专用于FortiGate网络安全平台上的安全操作系统,该系统为用户提供防火墙、防病毒、VPN、Web内容过滤和反垃圾邮件等多种安全功能。FortiProxy是Fortinet推出的一款高性能代理产品,它结合了Web过滤、DNS过滤、DLP、反病毒、入侵防御和高级威胁保护等多种检测技术,以保护用户免受网络攻击。...
关于VMware ESXi & Workstation & Fusion释放后使用漏洞(CVE-2024-22252)的安全预警
关于VMware ESXi & Workstation & Fusion释放后使用漏洞(CVE-2024-22252)的安全预警一、 基本情况VMware是一家提供虚拟化解决方案的软件公司,它提供了多个虚拟化产品,其中包括VMware ESXi虚拟化操作系统、VMware Workstation、VMware vSphere™虚拟化平台,以及各种管理和监控工具等。二、 漏洞描述VMware ESXi 、Workstation 和Fusion的XHCI USB控制器和UHCI USB 控制器中分别存在2个释放后使用漏洞(CVE-2024-22252和CVE-...
关于JetBrains TeamCity身份验证绕过漏洞(CVE-2024-27198)的安全预警
关于JetBrains TeamCity身份验证绕过漏洞(CVE-2024-27198)的安全预警一、 基本情况TeamCity是JetBrains旗下的一款功能强大的持续集成(Continuous Integration,简称CI)工具,包括服务器端和客户端。默认情况下,TeamCity 通过 HTTP 端口8111公开Web 服务器,并且可以选择配置为通过 HTTPS 运行。二、 漏洞描述TeamCity On-Premises中修复了一个身份验证绕过漏洞(CVE-2024-27198),其CVSS评分为9.8,目前该漏洞的细节及PoC...
