Apache Tomcat Default Servlet任意文件上传RCE漏洞

漏洞描述 Apache Tomcat是美国阿帕奇(Apache)基金会的一款轻量级Web应用服务器,partial PUT是其中用于文件分块上传的功能。 在受影响版本中,由于针对partial PUT的临时文件路径依赖于用户...

OSCS开源供应链安全 · 03/11 11:12
0

Apache Solr Windows 下路径遍历漏洞

漏洞描述 Apache Solr 是基于 Apache Lucene 构建的开源搜索平台。 受影响版本的 Apache Solr 的 configset upload api 未对输入数据做校验,攻击者可以构造恶意的 zip 文件来写入任意路径,...

OSCS开源供应链安全 · 01/27 23:49
0

Apache Linkis 元数据查询服务文件读取漏洞

漏洞描述 Apache Linkis 是面向大数据和人工智能应用的开源治理平台。 受影响版本的 Apache Linkis 的数据源管理模块未对传入的 JDBC URL 中的参数做限制。具备数据源管理权限的攻击者可以在...

OSCS开源供应链安全 · 01/15 10:37
0

Apache MINA 反序列化漏洞

漏洞描述 Apache MINA 是一个功能强大、灵活且高性能的网络应用框架。它通过抽象网络层的复杂性,提供了事件驱动架构和灵活的 Filter 链机制,使得开发者可以更容易地开发各种类型的网络应用...

OSCS开源供应链安全 · 2024/12/27 21:14
0

NPM 组件包 vant 内嵌挖矿代码

漏洞描述 Vant 是由有赞团队开源的基于 Vue.js 的移动端组件库。 由于开发者的 npm token被窃取,攻击者向 Vant 组件植入挖矿代码,当用户安装投毒版本时会下载并执行挖矿程序xmrig(钱包地址...

OSCS开源供应链安全 · 2024/12/20 22:44
0

NPM组件包 @rspack/core、@rspack/cli 内嵌恶意代码

漏洞描述 Rspack 是基于 Rust 编写的高性能 JavaScript 打包工具。 由于Rspack 团队成员的 npm token被窃取,@rspack/core 和 @rspack/cli 1.1.7 版本被插入挖矿代码,当用户安装投毒版本时会...

OSCS开源供应链安全 · 2024/12/20 22:41
0

Apache Tomcat default servlet 条件竞争文件上传 RCE 漏洞

漏洞描述 Apache Tomcat中的JSP编译过程中存在条件竞争漏洞。 当在不区分大小写的文件系统(如windows)上,启用了默认 servlet 的写入功能(将readonly 初始化参数设置为非默认值 false)时...

OSCS开源供应链安全 · 2024/12/18 12:34
0

Apache Struts < 6.4.0 文件上传导致 RCE 漏洞

漏洞描述 Apache Struts是美国阿帕奇(Apache)基金会的开源Web项目,是一套用于创建企业级Java Web应用的开源MVC框架。 受影响的版本中,Apache Struts 中FileUploadInterceptor逻辑存在缺陷...

OSCS开源供应链安全 · 2024/12/12 14:19
14

Apache Arrow R 包反序列化漏洞

漏洞描述 Apache Arrow R 包是 Apache Arrow 项目的R语言组件,用于处理高性能的列式数据格式。 受影响的版本中,由于extension_metadata() 中直接调用 unserialize函数,导致反序列化漏洞。...

OSCS开源供应链安全 · 2024/11/29 23:40
0

Spring Security 大小写敏感校验鉴权绕过风险

漏洞描述 Spring Security 是开源的身份验证和访问控制框架。 由于java语言中String.toLowerCase()、String.toUpperCase()方法与语言地区(Locale)相关,在Spring Security受影响版本中调用该...

OSCS开源供应链安全 · 2024/11/21 10:39
1

Apache OFBiz < 18.12.17 Groovy表达式注入漏洞

漏洞描述 Apache OFBiz 是开源企业资源规划(ERP)系统和电子商务框架。 受影响版本中,OFBiz由于使用freemarker对url中的参数进行模板解析时限制不当,攻击者可能通过component://协议访问/...

OSCS开源供应链安全 · 2024/11/18 17:44
0

Apache HertzBeat < 1.6.1 消息通知模版注入漏洞

漏洞描述 Apache HertzBeat 是开源的实时监控工具,支持自定义监控消息通知模板。 在受影响版本中,由于针对消息通知模板的内容存在未限制的反序列化逻辑,具有系统登录权限的攻击者可以利用...

OSCS开源供应链安全 · 2024/11/18 17:44
0

RabbitMQ HTTP API 权限验证绕过漏洞

漏洞描述 RabbitMQ 是一个开源的消息代理和队列管理工具,用于分布式系统中的消息传递。 受影响版本中,RabbitMQ 的 HTTP API 在执行队列删除操作时,未充分验证用户的 configure 权限,拥有...

OSCS开源供应链安全 · 2024/11/08 23:40
0

Apache ZooKeeper Admin Server 身份验证绕过漏洞

漏洞描述 Apache ZooKeeper 是开源的分布式应用程序协调服务,IPAuthenticationProvider 是其身份验证提供器,用于基于客户端 IP 地址进行身份验证。 受影响版本的 ZooKeeper Admin Server 使...

OSCS开源供应链安全 · 2024/11/07 11:41
1

PyTorch RemoteModule模块反序列化RCE漏洞

漏洞描述 PyTorch是热门的开源机器学习框架,RemoteModule是其中用于实现分布式RPC服务的模块。 在受影响版本中,PyTorch RemoteModule默认缺少鉴权机制,存在反序列化漏洞,攻击者可能利用R...

OSCS开源供应链安全 · 2024/11/01 18:06
0

Spring WebFlux 路径遍历漏洞

漏洞描述 Spring Framework 是一个广泛使用的开源 Java 企业级应用框架,Spring WebFlux 是 Spring Framework 5.0中引入的新的响应式web框架。 受影响版本中当应用程序使用 RouterFunctions ...

OSCS开源供应链安全 · 2024/10/18 16:38
0

Apache Solr URL 路径身份验证绕过漏洞

漏洞描述 Apache Solr 是基于 Apache Lucene 构建的开源搜索平台。 受影响版本中由于 PKIAuthenticationPlugin 类未正确过滤用户的请求路径,当Solr启用PKIAuthenticationPlugin插件用于身份...

OSCS开源供应链安全 · 2024/10/17 11:02
0

Apache CloudStack请求来源验证绕过漏洞

漏洞描述 Apache CloudStack 是一个开源的云计算管理平台,允许用户创建、管理和部署大规模虚拟化基础设施。 在受影响的版本中,系统未能有效验证请求的来源,导致攻击者能够诱导已认证用户提...

OSCS开源供应链安全 · 2024/10/17 11:02
0

Apache CloudStack 模板验证绕过漏洞

漏洞描述 Apache CloudStack 是开源的基础设施即服务云计算软件,支持包括 KVM在内的多种虚拟化技术。 受影响版本中,由于缺少对上传和注册的 KVM 兼容模板和存储卷的验证,在启用配额功能的...

OSCS开源供应链安全 · 2024/10/17 11:01
0

Oracle WebLogic T3/IIOP 反序列化漏洞

漏洞描述 Oracle WebLogic是用于开发、集成、部署和管理大型分布式Web应用、网络应用和数据库应用的Java应用服务器。 在受影响版本中,未经身份验证的攻击者可以利用该漏洞在远程的WebLogic服...

OSCS开源供应链安全 · 2024/10/17 11:00
0

没有更多内容

加载失败,请刷新页面

返回顶部
顶部