| 211 |
CVE-2023-1018 |
中等 |
TCG TPM是一种植于计算机内部为计算机提供可信根的芯片。
TCG TPM 2.0版本存在缓冲区错误漏洞���,该漏洞源于存在越界读取问题。攻击者利用该漏洞可以读取或访问TPM中存储的敏感数据。
|
服务器操作系统 |
2025-02-25 |
| 212 |
CVE-2023-50186 |
重要 |
GStreamer存在安全漏洞���,该漏洞源于在将用户提供的数据复制到基于堆栈的固定长度缓冲区之前缺乏对用户提供的数据的长度进行正确验证。
|
服务器操作系统 |
2025-02-21 |
| 213 |
CVE-2024-46954 |
重要 |
Artifex Ghostscript 存在安全漏洞���,该漏洞源于过长的UTF-8编码会导致目录遍历漏洞。
|
服务器操作系统 |
2025-02-21 |
| 214 |
CVE-2024-56764 |
重要 |
Linux kernel存在安全漏洞���,该漏洞源于在ublk模块中���,当add_disk失败时���,gendisk可能已被释放���,但在ublk_abort_requests中仍尝试获取磁盘的引用���,导致释放后重用错误���,影响ublk设备的正常工作和数据传输的可靠性。
|
服务器操作系统 |
2025-02-20 |
| 215 |
CVE-2024-4109 |
重要 |
Undertow是基于Java的嵌入式Web服务器���,是Wildfly(Java应用服务器)默认的Web服务器。
Undertow存在信息泄露漏洞���,该漏洞源于同一HTTP/2连接上前一个流的HTTP请求头值会被错误地复用于后续流相关请求���,从而导致请求间出现信息泄露。
|
服务器操作系统 |
2025-02-20 |
| 216 |
CVE-2024-11407 |
中等 |
gRPC存在安全漏洞���,该漏洞源于存在数据损坏问题���,可能会导致拒绝服务。
|
服务器操作系统 |
2025-02-20 |
| 217 |
CVE-2024-3935 |
中等 |
在Eclipse Mosquito(从2.0.0到2.0.18的版本)中���,如果将一个Mosquito代理配置为创建一个出站桥接连接���,并且该桥接连接有一个配置为使用主题重新映射的传入主题���,那么如果远程连接向该代理发送一个精心制作的PUBLISH包���,则会发生双自由���,导致代理随后崩溃。
|
服务器操作系统 |
2025-02-19 |
| 218 |
CVE-2024-32473 |
中等 |
Moby是一个开源项目���,旨在推动软件的容器化���,并帮助生态系统使容器技术主流化。
Moby 26.0.0和26.0.1版本存在安全漏洞���,该漏洞源于允许攻击者在仅限IPv4的网络接口上启用IPv6。
|
服务器操作系统 |
2025-02-19 |
| 219 |
CVE-2023-28842 |
中等 |
Moby是一个开源项目���,旨在推动软件的容器化���,并帮助生态系统使容器技术主流化。
Moby 1.12版本及之后版本存在安全漏洞。攻击者利用该漏洞通过将任意以太网帧封装在VXLAN数据报中���,将它们注入加密覆盖网络。
|
服务器操作系统 |
2025-02-19 |
| 220 |
CVE-2024-24575 |
重要 |
libgit2 是一个便携式的 C 语言实现的 Git 核心方法���,提供可链接的库和稳定的 API���,允许将 Git 功能嵌入到应用程序中。使用精心构造的输入调用 git_revparse_single 可能导致该函数进入无限循环���,从而可能导致调用应用程序发生拒绝服务攻击(Denial of Service)。在 src/libgit2/revparse.c 文件中的 revparse 函数使用一个循环来解析用户提供的规范字符串。在解析过程中存在一个边缘情况���,允许恶意行为者强制使循环条件访问任意内存。潜在地���,如果提取的 rev 规范被反射回攻击者���,这也可能导致内存泄漏。因此���,版本低于 1.4.0 的 libgit2 不受影响。
|
服务器操作系统 |
2025-02-18 |
| 221 |
CVE-2022-36113 |
重要 |
Cargo 是 Rust 编程语言的包管理器。在下载一个包后���,Cargo 会将其源代码提取到磁盘上的 ~/.cargo 文件夹中���,使其可以在构建 Rust 项目时使用。为了记录提取是否成功���,Cargo 会在提取所有文件后在源代码根目录的 .cargo-ok 文件中写入 "ok"。有研究发现���,Cargo 允许包中包含一个 .cargo-ok 符号链接���,Cargo 会提取这个链接。然后���,当 Cargo 尝试向 .cargo-ok 写入 "ok" 时���,实际上会将符号链接指向的文件的前两个字节替换为 "ok"。这使得攻击者能够在使用 Cargo 提取包的机器上破坏一个文件。需要注意的是���,Cargo 由于构建脚本和过程宏的设计���,允许在构建时执行代码。此安全漏洞使得攻击者可以以一种更难追踪的方式执行一些攻击。为了保护自己免受攻击���,必须信任你的依赖项���,因为通过构建脚本和过程宏���,攻击者仍然能够执行相同的攻击。此漏洞存在于所有版本的 Cargo 中。
|
服务器操作系统 |
2025-02-18 |
| 222 |
CVE-2025-0938 |
中等 |
Python 标准库中的 urllib.parse.urlsplit 和 urlparse 函数接受了包含方括号的域名���,而根据 RFC 3986 这不是有效的。方括号仅应作为分隔符���,用于在 URL 中指定 IPv6 和 IPvFuture 主机。这可能导致 Python URL 解析器与其他符合规范的 URL 解析器之间的解析差异。
|
服务器操作系统 |
2025-02-18 |
| 223 |
CVE-2024-51504 |
严重 |
Apache Zookeeper存在安全漏洞���,该漏洞源于使用IPAuthenticationProvider时���,可能会出现通过欺骗绕过身份验证的情况
|
服务器操作系统 |
2025-02-18 |
| 224 |
CVE-2024-12797 |
重要 |
OpenSSL是一个开源的能够实现安全套接层(SSLv2/v3)和安全传输层(TLSv1)协议的通用加密库。该产品支持多种加密算法���,包括对称密码���、哈希算法���、安全散列算法等。
OpenSSL 3.2版本���、3.3版本和3.4版本存在安全漏洞���,该漏洞源于存在认证检测缺陷���,会导致中间人攻击。
|
服务器操作系统 |
2025-02-18 |
| 225 |
CVE-2024-11168 |
低等 |
urllib.parse.urlsplit() 和 urlparse() 函数未正确验证括号化的主机([])���,允许非 IPv6 或 IPvFuture 的主机。这种行为不符合 RFC 3986 标准���,并且如果一个 URL 被多个 URL 解析器处理���,可能会导致 SSRF(服务器端请求伪造)漏洞。
|
服务器操作系统 |
2025-02-18 |
