| CVE編號 | 安全級別 | 描述 | 系統類型 | 發布時間 | |
|---|---|---|---|---|---|
| 286 | CVE-2022-38749 | 中等 |
SnakeYAML是一款基于Java的YAML解析器。SnakeYAML 存在緩沖區錯誤漏洞,該漏洞源于解析不受信任的 YAML 文件可能容易受到拒絕服務攻擊(DOS)。 如果解析器在用戶提供的輸入上運行,攻擊者通過特制內容導致解析器因堆棧溢出而崩潰。
|
服務器操作系統 | 2023-03-27 |
| 287 | CVE-2022-37705 | 中等 |
Amanda是University of Maryland at College Park組織的一種自動網絡磁盤存檔器。允許 IT 管理員設置單個主備份服務器,以通過網絡將多個主機備份到磁帶驅動器/轉換器或磁盤或光學介質。
Amanda 存在安全漏洞,該漏洞源于為runtar SUID二進制文件精心設計的參數會導致本地權限升級到root。
|
服務器操作系統 | 2023-03-27 |
| 288 | CVE-2022-37704 | 中等 |
Amanda是University of Maryland at College Park組織的一種自動網絡磁盤存檔器。允許 IT 管理員設置單個主備份服務器,以通過網絡將多個主機備份到磁帶驅動器/轉換器或磁盤或光學介質。
amanda存在安全漏洞,該漏洞源于在rundump存在本地權限提升。
|
服務器操作系統 | 2023-03-27 |
| 289 | CVE-2022-25857 | 重要 |
SnakeYAML是一款基于Java的YAML解析器。SnakeYAML 1.31及之前版本存在安全漏洞,該漏洞源于缺少對集合的嵌套深度限制,存在拒絕服務(DoS)問題。
|
服務器操作系統 | 2023-03-27 |
| 290 | CVE-2023-23916 | 中等 |
curl支持鏈式HTTP壓縮算法,這意味著服務器響應可以多次壓縮,并且可能使用不同的算法。這個解壓縮鏈中可接受的鏈接數量是有上限的,但是上限是在每個頭的基礎上實現的,這使得惡意服務器只需使用許多頭就可以插入幾乎無限數量的壓縮步驟。使用這樣的解壓縮鏈可能會導致malloc炸彈,使curl最終花費大量分配的堆內存,或者嘗試并返回內存外錯誤。
|
服務器操作系統 | 2023-03-24 |
| 291 | CVE-2023-26464 | 重要 |
當在低于 1.7 的 JRE 上使用帶有 Log4j 1.x 的 Chainsaw 或 SocketAppender 組件時,攻擊者設法導致涉及特制(即深度嵌套)哈希圖或哈希表(取決于正在使用日志記錄組件)進行處理可能會耗盡虛擬機中的可用內存,并在反序列化對象時實現拒絕服務。此問題影響 Apache Log4j 2 之前版本。建議受影響的用戶更新至 Log4j 2.x。注意:此漏洞僅影響維護者不再支持的產品。
|
服務器操作系統 | 2023-03-24 |
| 292 | CVE-2023-26053 | 中等 |
Gradle是美國Gradle公司的一套基于JVM的項目構建工具,它支持maven、Ivy倉庫等。
Gradle存在安全漏洞,該漏洞源于如果在依賴性驗證元數據的信任元素中使用指紋以外的任何內容,將導致依賴性驗證失敗。
|
服務器操作系統 | 2023-03-24 |
| 293 | CVE-2023-24807 | 重要 |
Undici是Node.js的HTTP/1.1客戶端。當不受信任的值傳遞到函數時,“Headers.set()”和“Headers.append()”方法容易受到正則表達式拒絕服務(ReDoS)攻擊。這是由于用于規范化“headerValueNormalize()”實用程序函數中的值的正則表達式效率低下。
|
服務器操作系統 | 2023-03-24 |
| 294 | CVE-2023-24533 | 重要 |
Google Golang是美國谷歌(Google)公司的一種靜態強類型、編譯型語言。Go的語法接近C語言,但對于變量的聲明有所不同。Go支持垃圾回收功能。Go的并行模型是以東尼·霍爾的通信順序進程(CSP)為基礎,采取類似模型的其他語言包括Occam和Limbo,但它也具有Pi運算的特征,比如通道傳輸。在1.8版本中開放插件(Plugin)的支持,這意味著現在能從Go中動態加載部分函數。
Google Golang 存在安全漏洞,該漏洞源于使用某些方法時結果返回不正確。
|
服務器操作系統 | 2023-03-24 |
| 295 | CVE-2023-24532 | 中等 |
Google Golang是美國谷歌(Google)公司的一種靜態強類型、編譯型語言。Go的語法接近C語言,但對于變量的聲明有所不同。Go支持垃圾回收功能。Go的并行模型是以東尼·霍爾的通信順序進程(CSP)為基礎,采取類似模型的其他語言包括Occam和Limbo,但它也具有Pi運算的特征,比如通道傳輸。在1.8版本中開放插件(Plugin)的支持,這意味著現在能從Go中動態加載部分函數。
Google Golang 存在安全漏洞,該漏洞源于使用某些方法時結果返回不正確。
|
服務器操作系統 | 2023-03-24 |
| 296 | CVE-2023-23919 | 重要 |
nodejs在某些情況下,該漏洞在可能設置OpenSSL錯誤堆棧的操作后無法清除該錯誤堆棧。這可能會導致在同一線程上的后續加密操作中出現誤報錯誤。這反過來又可能被用來造成拒絕服務。
|
服務器操作系統 | 2023-03-24 |
| 297 | CVE-2023-20860 | 重要 |
SpringFramework存在身份認證繞過漏洞,當SpringSecurity使用mvcRequestMatcher配置并將"**"作為匹配模式時,在SpringSecurity和 Spring MVC 之間會發生模式不匹配,最終可能導致身份認證繞過
|
服務器操作系統 | 2023-03-24 |
| 298 | CVE-2022-36397 | 重要 |
4.17版本之前的Linux的一些Intel(R) QAT驅動程序的軟件安裝程序中的錯誤默認權限可能允許已驗證的用戶通過本地訪問潛在地啟用特權升級。
|
服務器操作系統 | 2023-03-24 |
| 299 | CVE-2019-1756 | 重要 |
Cisco IOS XE是美國思科(Cisco)公司的一套為其網絡設備開發的操作系統。Cisco IOS XE中存在輸入驗證漏洞,該漏洞源于程序沒有正確地過濾用戶提交的輸入。當Web服務器功能被啟用時,攻擊者可通過提交帶有惡意payload的用戶名利用該漏洞以root用戶身份執行任意命令。
|
服務器操作系統 | 2023-03-24 |
| 300 | CVE-2002-1377 | 重要 |
Vim是一款開源的、可配置的用于創建和更改任何類型文本的文本編輯器,它可使用在大多數UNIX系統和Apple OS X中。
VIM的modelines功能對用戶輸入缺少正確過濾,本地攻擊者可以利用這個漏洞通過modeline功能執行任意命令。
根據報告VIM的modelines功能存在問題,Modelines功能允許在文本文件開頭結尾放置指令來指定編輯器怎樣處理文件中的部分元素,但是由于輸入處理不正確,通過在文本文件中設置惡意標記,誘使用戶打開時以其他用戶權限執行任意命令。
|
服務器操作系統 | 2023-03-24 |
