漏洞公告】Git、SVN、Mercurial版本控制系统存在远程命令执行漏洞 - 安全公告和技术

近日,三款主流的源版本控制系统Git、Subversion (svn)、Mercurial,发布了更新补丁,修复了一个客户端代码执行漏洞。 恶意的攻击者可以向受害者发送一条精心构造的ssh:// URL链接,当受害者访问这条URL则会触发漏洞,执行恶意 ...

漏洞公告】CVE-2017-8046:Spring Data REST远程代码执行漏洞 - 安全公告和技术

2017年9月21日,流行的Java框架spring被发现一个高危漏洞漏洞CVE编号为CVE-2017-8046。黑客可以利用该漏洞远程执行命令,使用了spring框架的业务存在高安全风险。 漏洞详情见下文。 漏洞编号 CVE-2017-8046 ...

漏洞公告】CVE-2017-3733:OpenSSL Encrypt-Then-Mac renegotiation DDoS漏洞 - 安全公告和技术

2017年2月16日,OpenSSL官方发布了最新安全公告。该公告介绍OpenSSL开发团队已经修正了一个严重的拒绝服务(DoS)漏洞漏洞编号为CVE-2017-3733。该漏洞是由Red Hat乔·奥顿于1月31日报道,它被描述为 ...

漏洞公告】CVE-2018-5711:PHP GD库拒绝服务漏洞 - 安全公告和技术

2018年01月22日,某安全研究人员发现PHP环境存在拒绝服务漏洞。通过精心构造的GIF图片PoC可以触发PHP进程挂起崩溃,导致网站功能受到影响,从而影响服务。目前PoC已公开。由于使用PHP语言开发的网站使用GD库实现图片上传功能,建议用户关注该 ...

【安全漏洞通告】EDAS 客户机中 fastjson 安全漏洞通告及解决方案 - 企业级分布式应用服务 EDAS

爆发新的反序列化远程代码执行漏洞,黑客利用漏洞,可绕过 autoType 限制,直接远程执行任意命令攻击服务器,风险极大。详情请参见漏洞预警,然后参照下面的公告内容升级 EDAS 客户机(导入到 EDAS 中的 ECS)中使用到 fastjson 依赖包的 ...

【安全漏洞通告及解决方案】【EDAS K8s 集群】关于 Apache Tomcat AJP 漏洞(2020年02月24日) - 企业级分布式应用服务 EDAS

,因此攻击者可以读取 webapp 配置文件或源代码。如果目标应用支持文件上传功能,攻击者可以向服务端上传含有恶意 JSP 脚本代码的文件,然后利用漏洞进行文件包含,从而达到远程代码执行获取服务器权限等攻击目的。攻击者通过漏洞利用AJP ...

漏洞公告】FFmpeg本地文件任意读取漏洞 - 安全公告和技术

近日,白帽在HackerOne平台上报了FFmpeg漏洞,该漏洞利用FFmpeg的HLS播放列表处理方式,可导致本地文件曝光。目前POC已经公开,安全风险为高危。为了确保您的业务正常,防止数据泄露,建议您尽快排查和升级。 FFmpeg是一个免费的多媒体 ...

漏洞公告】CVE-2018-1038:Windows内核提权漏洞 - 安全公告和技术

漏洞的问题。 阿里云云平台自身不受此漏洞影响,阿里云云盾应急响应中心建议您尽快开展自查工作并根据厂商更新情况及时更新补丁,以避免攻击者利用该漏洞发动提权攻击。 漏洞详情见下文。 漏洞编号 CVE-2018-1038 漏洞名称 Windows内核提权漏洞 ...

漏洞公告】微信支付JAVA版本SDK存在XXE漏洞 - 安全公告和技术

2018年7月3日,阿里云云盾应急响应中心监测到seclists.org公开微信支付SDK存在XXE漏洞,该漏洞为微信在JAVA版本的SDK中提供callback回调功能,用来帮助商家接收异步付款结果,该接口接受XML格式的数据,攻击者可以构造恶意的回调 ...

漏洞公告 | Windows SMBv3远程执行代码漏洞(CVE-2020-0796) - 云服务器 ECS

CVE-2020-0796漏洞更新补丁,用于更新Windows操作系统的SMBv3远程执行代码漏洞。利用此漏洞,攻击者可以获得在目标服务器或客户端上执行代码的能力。阿里云已经同步更新Windows系统更新源,建议您及时更新ECS实例的操作系统到最新补丁 ...

漏洞公告】Dedecms 变量覆盖漏洞 - 安全公告和技术

漏洞描述Dedecms 5.5 版本存在一个变量覆盖漏洞。该漏洞文件位于include\dialog\select_soft_post.php, 其变量$cfg_basedir没有正确初始化,导致攻击者可以饶过身份认证和系统变量来初始化文件,从而可以上传 ...

漏洞公告】CVE-2014-3883:Webmin Usermin远程命令注入漏洞 - 安全公告和技术

漏洞描述 Webmin是Unix系统管理Web接口,通过任一浏览器都可设置用户账户、Apache、DNS、文件共享及其他。 Webmin 1.600之前版本存在远程命令注入漏洞,攻击者可利用此漏洞在受影响应用上下文中执行任意OS命令。 漏洞危害 攻击者可 ...

漏洞公告】WordPress REST API内容注入/权限提升漏洞 - 安全公告和技术

。 WordPress REST API内容注入/权限提升漏洞于2017年1月22日被安全公司Sucuri研究员Marc-Alexandre Montpas发现并告知WordPress。WordPress紧急修复该漏洞,并于2017年1月26日发布安全更新。 漏洞详情 ...

漏洞公告】Intel处理器芯片Micro Architectural Data Sampling (MDS) 侧信道攻击漏洞 - 安全公告和技术

美国西海岸时间2019年5月14号早上10点,Intel官方发布安全漏洞公告,披露名为”Micro Architectural Data Sampling (MDS)”的漏洞信息,该漏洞可能通过侧信道攻击的方式,导致未经授权的一些 ...

漏洞公告】ImageMagick 和 GraphicsMagick popen 函数远程代码执行漏洞 - 安全公告和技术

漏洞描述ImageMagick 和 GraphicsMagick 是广泛流行的图像处理软件。 ImageMagick 被披露存在远程代码执行漏洞,同时受影响的软件还包括 GraphicsMagick。此漏洞允许攻击者通过上传恶意构造的图像文件,在目标 ...

漏洞公告】Dedecms变量覆盖漏洞 - 安全公告和技术

漏洞描述Dedecms低版本存在一个变量覆盖漏洞漏洞文件位于plus\myta_js.php。攻击者可以提交变量,覆盖数据库连接配置的全局变量,从而使被攻击的网站反向连接攻击者指定的数据库,读取指定的内容,并在被攻击的网站中直接写入WebShell。 漏洞危害恶意黑客可以通过网络公开的利用工具,直接上传网站后门,入侵网站。 修复方案通过官方途径,将DedeCMS升级至最新版本。 ...

漏洞公告】CVE-2014-4877:Wget FTP软链接攻击漏洞 - 安全公告和技术

漏洞描述 wget被发现存在CVE编号为CVE-2014-4877的安全漏洞。当wget在用于递归下载FTP站点时,攻击者可通过构造恶意的符号链接文件触发该漏洞,从而在wget用户的系统中创建任意文件、目录或符号链接并设置访问权限。 漏洞修复 通过官方途径,将wget升级到1.16及以上版本。 ...

漏洞公告】CVE-2016-8610:Death Alert-OpenSSL远程拒绝服务漏洞 - 安全公告和技术

漏洞编号 CVE-2016-8610 漏洞名称 “SSL Death Alert” 红色警戒漏洞 漏洞危害 在 OpenSSL 针对 SSL/TLS 协议握手过程的实现中,客户端被允许重复发送打包的SSL3_RT_ALERT ...

漏洞公告】CVE-2016-3714:ImageMagick远程代码执行漏洞 - 安全公告和技术

漏洞描述 ImageMagick是一款广泛应用的图像处理软件。近日,该软件被爆出存在远程代码执行漏洞,编号为CVE-2016–3714。 此漏洞允许攻击者通过上传恶意构造的图像文件,在目标服务器执行任意代码。由于ImageMagick应用十分 ...

漏洞公告】Joomla 3.2-3.4.4版本SQL注入漏洞 - 安全公告和技术

漏洞描述Joomla 3.2-3.4.4存在SQL注入漏洞。攻击者可远程利用该漏洞,窃取用户数据库数据,包括用户名、密码、登录凭证等,并获取Joomla后台权限。 使用以下命令进行PoC测试,验证您的系统是否受该漏洞影响: /index.php ...
< 1 2 3 4 5 7 >
共有45页 跳转至:GO