漏洞安全公告 2018年5月9日,Pivotal发布了Spring Framework存在多个安全漏洞的公告: (1)通过spring-messaging模块提供的基于WebSocket的STOMP代理存在拒绝服务漏洞 Security OAuth组件存在远程代码执行的漏洞 对应CVE编号:CVE-2018-1260 漏洞公告链接:https://pivotal.io/security/cve-2018-1260 (5) blog/2018/05/09/spring-project-vulnerability-reports-published 漏洞描述 CVE-2018-1257漏洞:Spring Framework的5. CVE-2018-1258漏洞:Spring Framework的5. 安全开发生命周期(SDL)建议:Spring组件历史上已经报过多个安全漏洞,建议使用该产品的企业经常关注官方安全更新公告。
腾讯云安全参考“安全漏洞的危害及影响力、漏洞技术细节披露情况、该漏洞在安全技术社区的讨论热度”等因素,综合评估该漏洞在攻防实战场景的风险。 当漏洞综合评估为风险严重、影响面较广、技术细节已披露,且被安全社区高度关注时,就将该漏洞列入必修安全漏洞候选清单。 腾讯云安全定期发布安全漏洞必修清单,以此指引企业安全运维人员修复漏洞,从而避免重大损失。 以下是2025年5月份必修安全漏洞清单: 一、Ivanti Endpoint Manager Mobile代码执行漏洞 (CVE-2025-4428) 二、 vLLM PyNcclPipe pickle Server < 8.0 U3e VMware Cloud Foundation (vCenter) 4.5.x < 7.0 U3v VMware Cloud Foundation (vCenter) 5.
5月份的一些API安全漏洞报告希望大家查漏补缺及时修复自己API可能出现的漏洞No.1 微软.NET Core漏洞漏洞详情:微软官方发布公告称,其.NET Core 2.1、3.1和5.0版本中存在一个漏洞 No.2 关于AWS未记录的API安全漏洞漏洞详情:Datadog 的安全研究人员发现了一个问题:AWS CloudTrail(一种日志记录服务)在 AWS 管理控制台中的表现与其他 AWS 服务不同。 No.3 Wordle在线谜题API漏洞漏洞详情:一位安全专家在《纽约时报》的在线游戏Wordle中发现了一个安全漏洞。 No.5 Strapi身份验证绕过漏洞漏洞详情:Strapi是一种灵活的、开放源码的无头CMS,开发者可以自由选择自己喜欢的工具和框架,编辑器也可以轻松地管理和分发内容。 版本 >=4.8.0CNNVD-202304-1614 / CVE-2023-22893:Strapi 版本 >=4.6.0No.6 Twitter的API漏洞漏洞详情:Twitter API漏洞泄露了5万用户数据
FileUpload ‘DiskFileItem’类空字节任意文件写入漏洞 3 Red Hat JBoss JBoss EAP 身份验证安全绕过漏洞 4 Red Hat JBoss EAP会话ID信息泄露漏洞 5 F5 BIG-IP Traffic Management Microkernel 远程拒绝服务漏洞 6 IBM Domino iNotes 跨站脚本漏洞 7 SAP Sybase ASE XML外部实体注入漏洞
Apache Roller OGNL表达式注入远程代码执行漏洞发布时间:2013-11-27漏洞编号:BUGTRAQ ID: 63928 CVE(CAN) ID: CVE-2013-4212漏洞描述:Apache Roller是适合于博客站点的多用户博客群服务器。 Apache Roller 5.0.2之前版本在实现上存在OGNL注入漏洞,因为使用ActionSupport.getText方法的方式不正确,所有UIAction控制器中存在OGNL注入,远程攻击者可利用此漏洞控制服务器端对象并在
PHP 5.4.28之前版本在php-fpm.conf.in的实现上存在安全漏洞,本地攻击者可利用此漏洞获取提升的权限并执行任意代码。 另外 CookieInterceptor配置为接受所有cookie后也存在此类安全漏洞。成功利用后可使攻击者绕过某些安全限制并执行未授权操作。 patchid=894&pr odidx=20&osidx=0&intidx=0&versionidx=0 参考:http://www.kb.cert.org/vuls/id/568252 5 Linux Linux Kernel存在安全漏洞,在已连接的netlink套接字上调用write(2)可重配置linux上的网络。
多个思科产品存在安全漏洞,该漏洞相关OSPF LSA数据库。此漏洞可使未经身份验证的攻击者完全控制OSPF AS域路由表、黑洞流量、中间流量等。 链接: http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20130801-lsaospf 5 多个思科内容网络和视频传递产品漏洞在配置为中心管理模式中运行时,Web框架内存在安全漏洞。经过身份验证的远程攻击者虽然没有权限,但可以在受影响系统上、受影响系统管理的设备上执行任意代码。
Allow Information Disclosure (2969258) 链接: http://technet.microsoft.com/security/bulletin/MS14-032 5 PHP 5.5.13及更早版本的配置脚本中使用的acinclude.m4存在安全漏洞,可使本地用户对 /tmp/phpglibccheck文件执行符号链接攻击,从而覆盖任意文件。
for Linux, Unix, Windows安全建议:目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:http://www.ibm.com/support/fixcentral/ 5
McAfee Email Gateway存在未明任意命令执行漏洞 2 Zend Framework代理请求处理IP地址伪造漏洞 3Cisco ASA CX安全搜索策略绕过漏洞 4 Zabbix任意命令执行漏洞 5Apache
Apache HTTP Server 2.4.7, 2.4.6, 2.4.4, 2.4.3, 2.4.2, 2.4.1在实现上存在安全漏洞,可被恶意利用造成拒绝服务。 安全建议:lighttpd 1.4.35已经修复该漏洞,建议用户下载更新: http://www.lighttpd.net/ 5 Juniper Junos Pulse Secure Access
JBoss Seam远程代码执行漏洞发布时间:2014-06-25漏洞编号:BUGTRAQ ID: 68174 CVE ID: CVE-2014-0248漏洞描述:JBoss Seam是一个Java EE5框架 JBoss Seam在AuthenticationFilter的日志记录实现上存在安全漏洞,成功利用后可使攻击者在受影响应用上下文中执行任意代码。 IBM Security Access Manager (ISAM) for Mobile 8.0、IBM Security Access Manager for Web 7.0、8.0版本存在安全漏洞 安全建议:目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:http://support.huawei.com/enterprise/ 5 Symantec Data Insight Management
SCADA Data Gateway 3.00.0635之前版本处理特制的DNP3数据包时存在安全漏洞,可使远程攻击者造成拒绝服务(过量数据处理)。 SCADA Data Gateway 3.00.0635之前版本处理串行线上特制的DNP请求时存在安全漏洞,可使物理位置接近的攻击者造成拒绝服务(过量数据处理)。 多个F-Secure产品的Online Safety及Browsing Protection功能在实现上存在安全漏洞,可导致攻击者可以读取用户文件系统内的任意文件。 安全建议:目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:http://www.f-secure.com/en/web/labs_global/fsc-2014-5 5 App::Context Serv-U多个安全漏洞发布时间:2014-06-04漏洞编号: 漏洞描述:Serv-U是一种使用广泛的FTP服务器程序。
你看bash 安全漏洞,一个代码注入就这样完成了。这就是bash的bug——函数体外面的代码被默认地执行了。 就像这个安全漏洞的测试脚本一样: env VAR='() { :;}; echo Bash is vulnerable!' 我们还知道,现在的HTTP服务器基本上都是以子进程式的bash 安全漏洞,所以,其中必然会存在export 一些环境变量的事,而有的环境变量的值是从用户端来的,比如:这样的环境变量,只由浏览器发出的。
IBM WebSphere Portal WEB内容管理器UI存在安全漏洞,允许远程攻击者利用漏洞通过IFFRAME元素注入恶意脚本或HTML代码,当恶意数据被查看时可获取敏感信息或者劫持用户会话。 uid=swg24035441 5 Revive Adserver 'what'参数SQL注入漏洞 Revive Adserver 'what'参数SQL注入漏洞发布时间:2013-12-24漏洞号
Cisco NX-OS在处理BGP更新消息时BGP实现存在安全漏洞,允许未验证远程攻击者使设备上所有BGP会话重置。
Xen 4.1-4.4.x版本的HVMOP_set_mem_type控件在实现上存在安全漏洞,本地客户端HVM管理员利用另外一个qemu-dm漏洞触发未指定内存页类型的无效页面表转换,然后利用此漏洞可造成拒绝服务或执行任意代码 struts.apache.org/release/2.3.x/docs/s2-022.html 补丁下载: http://struts.apache.org/download.cgi#struts23163 5
1 Linux Kernel 'linux-image-3.2.0-4-5kc-malta'软件包拒绝服务漏洞Linux Kernel 'linux-image-3.2.0-4-5kc-malta'软件包拒绝服务漏洞发布时间 www.php.net/downloads.php https://github.com/php/php-src/commit/4f73394fdd95d3165b4391e1b0dedd57fced8c3b 5 Zend_Db_Select::order()' 函数SQL注入漏洞发布时间:2014-06-16漏洞编号:BUGTRAQ ID: 68031漏洞描述:Zend Framework (ZF) 是一个开放源代码的 PHP5
Tomcat 8.0.0-RC1 - 8.0.0-RC5、7.0.0 - 7.0.47、6.0.0 - 6.0.37版本的XML(例如:web.xml, context.xml, *.tld, *.tagx Tomcat 8.0.0-RC1 - 8.0.0-RC5、7.0.0 - 7.0.47、6.0.0 - 6.0.37版本存在漏洞CVE-2005-2090修复不完整问题,远程攻击者可利用此漏洞对Web缓存投毒 安全建议:目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本: http://www.jboss.org/ 5 PostgreSQL远程栈缓冲区溢出漏洞
Red Hat JBoss Enterprise Application Platform (JBEAP)6.2.2版本中存在安全漏洞。 目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载: http://www.redhat.com/products/jbossenterprisemiddleware/application-platform/ 5