| CVE編號 | 安全級別 | 描述 | 系統類型 | 發布時間 | |
|---|---|---|---|---|---|
| 3421 | CVE-2020-13959 | 中等 |
VelocityView的默認錯誤頁面在Apache Velocity工具3.1之前反映的vm文件進入作為URL的一部分。攻擊者可以XSS有效負載文件設置為這個虛擬機文件的URL在這個負載被執行結果。XSS漏洞允許攻擊者攻擊網站的上下文中執行任意JavaScript和攻擊用戶。這可以濫用竊取會話cookie,執行請求的名稱或釣魚攻擊受害者。
|
服務器操作系統 | 2021-10-15 |
| 3422 | CVE-2020-11987 | 中等 |
Apache Batik 1.13服務器端請求偽造是脆弱的,由NodePickerPanel不當造成的輸入驗證。通過使用一個特制的論點,攻擊者可以利用此漏洞導致底層服務器進行任意的GET請求。
|
服務器操作系統 | 2021-10-15 |
| 3423 | CVE-2021-40732 | 中等 |
Adobe Xmp Toolkit是美國Adobe公司的一個工具包。用于將 Xmp 功能集成到產品或解決方案中。Adobe XMP Toolkit 2020.1 以及之前版本存在代碼問題漏洞,該漏洞源于軟件當中存在空指針解引用問題。該漏洞可能導致軟件從某些內存位置泄漏數據,并導致當前用戶的本地拒絕服務。利用此漏洞需要用戶交互,因為受害者將需要打開一個專門制作的MXF文件。
|
服務器操作系統 | 2021-10-13 |
| 3424 | CVE-2021-25634 | 中等 |
LibreOffice是文檔基金會(The Document Foundation,tdf)的一套開源的辦公軟件套件。該產品包含Writer(文本文檔)、Calc(電子表格)和Impress(演示文稿)等應用程序。LibreOffice存在信任管理問題漏洞,該漏洞源于應用程序未正確檢查ODF文件的數字簽名。攻擊者可利用該漏洞將文檔中的簽名算法更改為無效的(或LibreOffice未知的)算法,LibreOffice將錯誤地將這種使用未知算法的簽名表示為可信人員簽發的有效簽名。
|
服務器操作系統 | 2021-10-12 |
| 3425 | CVE-2021-25633 | 中等 |
LibreOffice是文檔基金會(The Document Foundation,tdf)的一套開源的辦公軟件套件。該產品包含Writer(文本文檔)、Calc(電子表格)和Impress(演示文稿)等應用程序。LibreOffice 7.0.6之前的7.0版本,7.1.2之前的7.1版本存在信任管理問題漏洞,攻擊者可利用該漏洞通過操縱文檔中的documentsignatures.xml或macrosignatures.xml流來組合多個證書數據,從而創建數字簽名的ODF文檔,打開時,會導致LibreOffice顯示一個有效簽名的指示器,但其內容與顯示的簽名無關。
|
服務器操作系統 | 2021-10-11 |
| 3426 | CVE-2021-32672 | 中等 |
Redis Labs Redis是美國Redis Labs公司的一套開源的使用ANSI C編寫、支持網絡、可基于內存亦可持久化的日志型、鍵值(Key-Value)存儲數據庫,并提供多種語言的API。Redis 存在緩沖區錯誤漏洞,當使用Redis Lua調試器時,用戶可以發送錯誤的請求,導致調試器的協議解析器讀取超出實際緩沖區的數據。
|
服務器操作系統 | 2021-10-04 |
| 3427 | CVE-2021-32626 | 中等 |
Redis Labs Redis是美國Redis Labs公司的一套開源的使用ANSI C編寫、支持網絡、可基于內存亦可持久化的日志型、鍵值(Key-Value)存儲數據庫,并提供多種語言的API。Redis 存在緩沖區錯誤漏洞,在Redis中執行特別制作的Lua腳本可能會導致基于堆的Lua堆棧溢出,這可能導致堆損壞,并可能導致遠程代碼執行。從2.6版本開始,所有支持Lua腳本的Redis版本都存在該漏洞。
|
服務器操作系統 | 2021-10-04 |
| 3428 | CVE-2021-41092 | 中等 |
Docker是美國Docker公司的一款開源的應用容器引擎。該產品支持在Linux系統上創建一個容器(輕量級虛擬機)并部署和運行應用程序,以及通過配置文件實現應用程序的自動化安裝、部署和升級。Docker CLI 存在信息泄露漏洞,該漏洞源于在 Docker CLI 中發現了一個錯誤,其中運行 docker login my-private-registry.example.com并帶有一個錯誤配置的配置文件(通常是 ~/.docker/config.json),其中列出了 credsStore 或 credHelpers 無法執行將導致任何提供的憑據被發送到registry-1.docker.io而不是預期的私有注冊表。
|
服務器操作系統 | 2021-10-04 |
| 3429 | CVE-2021-41091 | 中等 |
Moby是一個開源項目,旨在推動軟件的容器化,并幫助生態系統使容器技術主流化。Moby 存在安全漏洞,該漏洞源于在Moby (Docker Engine)中發現了一個bug,數據目錄(通常是var lib Docker )包含的子目錄權限沒有受到足夠的限制,允許沒有特權的Linux用戶遍歷目錄內容和執行程序。攻擊者可利用該漏洞當容器包含具有擴展權限位(如setuid )的可執行程序時,沒有特權的Linux用戶可以發現并執行這些程序。
|
服務器操作系統 | 2021-10-04 |
| 3430 | CVE-2021-41089 | 中等 |
Docker Engine是美國Docker公司的一套輕量級的運行環境和包管理工具。Docker Engine 存在安全漏洞,該漏洞源于使用docker cp將文件復制到精心編制的容器中可能會導致主機中現有文件的Unix文件權限發生變化。攻擊者可利用該漏洞訪問受限數據。
|
服務器操作系統 | 2021-10-04 |
| 3431 | CVE-2021-32762 | NA |
Redis Labs Redis是美國Redis Labs公司的一套開源的使用ANSI C編寫、支持網絡、可基于內存亦可持久化的日志型、鍵值(Key-Value)存儲數據庫,并提供多種語言的API。Redis 存在安全漏洞,該漏洞源于命令行工具redis-cli和redis-sentinel服務在解析專門制作的大型多批量網絡回復時可能容易出現整數溢出。
|
服務器操作系統 | 2021-10-04 |
| 3432 | CVE-2020-11736 | 低等 |
GNOME file-roller 3.36.1及之前版本中的fr-archive-libarchive.c文件存在路徑遍歷漏洞。該漏洞源于網絡系統或產品未能正確地過濾資源或文件路徑中的特殊元素。攻擊者可利用該漏洞訪問受限目錄之外的位置。
|
服務器操作系統 | 2021-09-30 |
| 3433 | CVE-2020-11736 | 低等 |
GNOME file-roller 3.36.1及之前版本中的fr-archive-libarchive.c文件存在路徑遍歷漏洞。該漏洞源于網絡系統或產品未能正確地過濾資源或文件路徑中的特殊元素。攻擊者可利用該漏洞訪問受限目錄之外的位置。
|
服務器操作系統 | 2021-09-30 |
| 3434 | CVE-2021-3672 | 中等 |
libcares2 存在安全漏洞,該漏洞源于對主機名的輸入驗證不當。
|
服務器操作系統 | 2021-09-30 |
| 3435 | CVE-2021-41098 | 中等 |
Nokogiri是一款用于解析Ruby中HTML和XML的開源軟件庫。Nokogiri 存在代碼問題漏洞,該漏洞源于在 Nokogiri v1.12.4 版本及更早版本中,僅在 JRuby 上,SAX 解析器默認解析外部實體。
|
服務器操作系統 | 2021-09-27 |
