Grafana 存在未授权任意文件读取漏洞,攻击者在未经身份验证的情况下可通过该漏洞读取主机上的任意文件。
2021-12-07
泛微 e-office v9.0任意文件上传漏洞(CNVD-2021-49104)
e-office 未能正确处理上传模块中用户输入导致的,攻击者可以构造恶意的上传数据包,实现任意代码执行
2021-11-27
Apache ShenYu JWT认证缺陷漏洞(CVE-2021-37580)
由于ShenyuAdminBootstrap中JWT的错误使用,导致攻击者可以绕过身份验证,直接进入目标系统后台。
2021-11-22
Metabase 敏感信息泄露漏洞(CVE-2021-41277)
metabase 爆出敏感信息泄露漏洞,该漏洞 CVSS3 评分高达 9.9。攻击者可在未经身份验证的情况下获取系统敏感信息。
2021-11-21
Hadoop Yarn RPC未授权访问漏洞
Hadoop Yarn作为Hadoop核心组件之一,负责将资源分配至各个集群中运行各种应用程序,并调度不同集群节点上的任务执行。近日阿里云应急响应中心监测到 Hadoop Yarn RPC未授权访问漏洞在野利用事件。Hadoop Yarn默认对外开放RPC服务,攻击者可利用RPC服务执行任意命令,控制服务器。同时由于Hadoop Yarn RPC服务访问控制机制开启方式与REST API不一样,因此即使在 REST API有授权认证的情况下,RPC服务所在端口仍然可以未授权访问。阿里云应急响应中心提醒 Apache Hadoop 用户尽快采取安全措施阻止漏洞攻击。
2021-11-20
Apache Druid LoadData 任意文件读取漏洞 CVE-2021-36749
由于用户指定 HTTP InputSource 没有做出限制,可以通过将文件 URL 传递给 HTTP InputSource 来绕过应用程序级别的限制。攻击者可利用该漏洞在未授权情况下,构造恶意请求执行文件读取,最终造成服务器敏感性信息泄露。
2021-11-10
SonarQube values 信息泄露漏洞 CVE-2020-27986
SonarQube 某接口存在信息泄露漏洞,可以获取部分敏感信息
2021-11-10
VMware vCenter Server 任意文件上传漏洞(CVE-2021-22005)
2021年9月22日,VMware 官方发布安全公告,披露了包括 CVE-2021-22005 VMware vCenter Server 任意文件上传漏洞
2021-10-30
CVE-2021-22205 GitLab 未授权RCE
GitLab使用了图片处理工具ExifTool而受到漏洞CVE-2021-22204的影响,攻击者可以通过一个未授权的接口上传一张恶意构造的图片,进而在GitLab服务器上执行任意命令。
2021-10-29
Harbor任意管理员注册漏洞
1. 简介
Harbor是一个用于存储和分发Docker镜像的企业级Registry服务器,通过添加一些企业必需的功能特性,例如安全、标识和管理等,扩展了开源Docker Distribution。
作为一个企业级私有R
2021-10-12