关于Apache Solr身份验证绕过漏洞(CVE-2024-45216)的安全预警
关于Apache Solr身份验证绕过漏洞(CVE-2024-45216)的安全预警一、 基本情况Apache Solr是一个开源搜索服务器,使用Java语言开发,主要基于HTTP和Apache Lucene实现。二、 漏洞描述Apache Solr发布安全公告,修复了Solr中的一个身份验证绕过漏洞(CVE-2024-45216),官方评级为“严重”。Apache Solr实例使用PKIAuthenticationPlugin(该插件在使用Solr身份验证时默认启用)时存在身份验证绕过漏洞,攻击者可针对任何Solr API ...
关于Fortinet FortiOS格式字符串漏洞(CVE-2024-23113)的安全预警
关于Fortinet FortiOS格式字符串漏洞(CVE-2024-23113)的安全预警一、 基本情况Fortinet(飞塔)公司是一家全球知名的网络安全产品和安全解决方案提供商,其产品包括防火墙和VPN、防病毒软件、入侵防御系统和终端安全组件等。FortiOS是Fortinet开发的一套专用于FortiGate上的安全操作系统,为用户提供防火墙、防病毒、VPN、Web内容过滤和反垃圾邮件等多种安全功能。二、 漏洞描述Fortinet发布安全公告,修复了Fortinet多款产品...
关于Veeam Backup & Replication远程代码执行漏洞(CVE-2024-40711)的安全预警
关于Veeam Backup & Replication远程代码执行漏洞(CVE-2024-40711)的安全预警一、 基本情况Veeam Backup & Replication是一款功能强大的数据备份与恢复软件,它不仅可以保护虚拟化环境,还提供了跨平台的备份支持,为企业提供强大的数据保护功能,包括快速备份、即时恢复、灾难恢复和复制等功能,旨在确保数据的高可用性和业务的持续性。二、 漏洞描述Veeam Backup & Replication中修复了一个反序列化远程代码执行漏洞(CVE-2...
关于Telerik Report Server远程代码执行漏洞(CVE-2024-8015)的安全预警
关于Telerik Report Server远程代码执行漏洞(CVE-2024-8015)的安全预警一、 基本情况Telerik Report Server是一款企业级报表管理工具,提供报表设计、生成、管理和分发功能,支持多种格式输出,简化数据可视化流程。二、 漏洞描述Progress Software发布了一项关键安全公告,揭露Telerik Report Server在2024 Q3版本(10.2.24.924)之前存在一个严重的远程代码执行漏洞(CVE-2024-8015,CVSS评分为9.1)。此漏洞源自不安全的类...
关于Apache Tomcat拒绝服务漏洞(CVE-2024-38286)的安全预警
关于Apache Tomcat拒绝服务漏洞(CVE-2024-38286)的安全预警一、 基本情况Apache Tomcat是一个流行的开源Web服务器和Java Servlet容器。二、 漏洞描述Apache Tomcat中修复了一个拒绝服务漏洞(CVE-2024-38286)。Apache Tomcat在某些配置下处理 TLS 握手过程的方式中存在安全问题,可能导致威胁者通过滥用TLS握手过程导致内存过度消耗,从而引发OutOfMemoryError并可能导致拒绝服务。三、 影响范围Apache Tomcat 11.0.0-M1 - 1...
关于Apache HertzBeat SnakeYaml反序列化漏洞(CVE-2024-42323)的安全预警
关于Apache HertzBeat SnakeYaml反序列化漏洞(CVE-2024-42323)的安全预警一、 基本情况Apache HertzBeat (incubating)是一个易于使用的开源实时监控系统,具有无代理(Agentless)、高性能集群、兼容prometheus、提供强大的自定义监控和状态页面构建功能。二、 漏洞描述Apache HertzBeat中修复SnakeYaml反序列化漏洞(CVE-2024-42323),该漏洞的CVSS评分为8.8。Apache HertzBeat 1.6.0 之前版本中,由于使用了存在漏洞的 Sna...
关于Google Chrome V8实现不当漏洞(CVE-2024-7965)的安全预警
关于Google Chrome V8实现不当漏洞(CVE-2024-7965)的安全预警一、 基本情况Google Chrome是由Google公司开发的一款网页浏览器。V8是由Google 开源的一个高性能JavaScript 引擎,被广泛应用于各种 JavaScript 执行环境,如Chrome 浏览器、Node.js等。二、 漏洞描述Google Chrome V8实现不当漏洞(CVE-2024-7965)的技术细节及PoC在互联网上公开,目前该漏洞已发现被利用。Google Chrome 128.0.6613.84之前版本在V8 JavaScript...
关于GitLab SAML身份验证绕过漏洞(CVE-2024-45409)的安全预警
关于GitLab SAML身份验证绕过漏洞(CVE-2024-45409)的安全预警一、 基本情况GitLab是一个用于仓库管理系统的开源项目,其使用Git作为代码管理工具,可以通过Web界面访问公开或私人项目。SAML(Security Assertion Markup Language,安全断言标记语言)是一种基于XML的标准,用于在不同的安全域之间交换认证和授权数据,它被广泛应用于单点登录(SSO)解决方案。二、 漏洞描述GitLab中修复了一个SAML身份验证绕过漏洞(CVE-2024...
