murphysec
-
PyPI仓库发现投毒组件
2024年11月15日在Python官方仓库发现下面一批具有共性的投毒组件: 这批恶意组件用于进行信息收集,大概发布一天后就被pypi官方下架,但仍可在腾讯云PyPI镜像站下载,如:https://mirrors.cloud.tencent.com/pypi/simple/bytekafka/ 投毒代码分析 以 bytekafka 投毒包为例,攻击者在包中植…
-
@strapi/plugin-users-permissions<4.24.2 存在 token 泄露风险 (CVE-2024-34065)
漏洞类型 使用捕获-重放进行的认证绕过 发现时间 2024-06-13 漏洞等级 高危 MPS编号 MPS-3xsj-n2yz CVE编号 CVE-2024-34065 漏洞影响广度 漏洞危害 OSCS 描述 Strapi 是开源的内容管理系统,@strapi/plugin-users-permissions 插件用于用户权限管理。 @strapi/plug…
-
PHP CGI Windows下远程代码执行漏洞 (CVE-2024-4577)
漏洞类型 输入验证不恰当 发现时间 2024-06-07 漏洞等级 高危 MPS编号 MPS-wk9q-5g71 CVE编号 CVE-2024-4577 漏洞影响广度 漏洞危害 OSCS 描述 PHP是一种在服务器端执行的脚本语言。 在 PHP 的 8.3.8 版本之前存在命令执行漏洞,由于 Windows 的 “Best-Fit Mapping…
-
PHP CGI Windows下远程代码执行漏洞 (CVE-2024-4577)
漏洞类型 输入验证不恰当 发现时间 2024-06-07 漏洞等级 高危 MPS编号 MPS-wk9q-5g71 CVE编号 CVE-2024-4577 漏洞影响广度 漏洞危害 OSCS 描述 PHP是一种在服务器端执行的脚本语言。 在 PHP 的 8.3.8 版本之前存在命令执行漏洞,由于 Windows 的 “Best-Fit Mapping…
-
Netty BoringSSLAEADContext Nonce重用漏洞 (CVE-2024-36121)
漏洞类型 在加密中重用Nonce与密钥对 发现时间 2024-06-05 漏洞等级 中危 MPS编号 MPS-jy5x-0p2d CVE编号 CVE-2024-36121 漏洞影响广度 漏洞危害 OSCS 描述 Netty 是一个异步事件驱动的网络应用程序框架,用于快速开发可维护的高性能协议服务器和客户端。Netty-Incubator-Codec-OHTT…
-
ShowDoc < 3.2.6 存在 SQL 注入漏洞 (MPS-d9mn-w0ph)
漏洞类型 SQL注入 发现时间 2024-06-03 漏洞等级 高危 MPS编号 MPS-d9mn-w0ph CVE编号 – 漏洞影响广度 漏洞危害 OSCS 描述 ShowDoc 是基于thinkPHP开发的开源文档管理系统,支持使用 Markdown 语法书写API文档、数据字典、在线Excel文档等功能。 ShowDoc 3.2.6之前版本…
-
Apache OFBiz 路径遍历漏洞 (CVE-2024-36104)
漏洞类型 路径遍历 发现时间 2024-06-03 漏洞等级 严重 MPS编号 MPS-xb5v-24ik CVE编号 CVE-2024-36104 漏洞影响广度 漏洞危害 OSCS 描述 Apache OFBiz是一个著名的电子商务平台,提供了创建基于最新J2EE/ XML规范和技术标准,构建大中型企业级、跨平台、跨数据库、跨应用服务器的多层、分布式电子商…
-
MyBatis Plus<=3.5.6 存在SQL注入漏洞 (CVE-2024-35548)
漏洞类型 SQL注入 发现时间 2024-05-29 漏洞等级 高危 MPS编号 MPS-mg7u-bw9p CVE编号 CVE-2024-35548 漏洞影响广度 漏洞危害 OSCS 描述 MyBatis Plus 是 MyBatis 的增强工具,用于简化数据库开发,提高开发效率。 受影响版本中,由于 UpdateWrapper 类未对用户可控的参数进行过…
-
OpenAPI Generator Online<7.6.0 存在路径遍历漏洞 (CVE-2024-35219)
漏洞类型 路径遍历 发现时间 2024-05-29 漏洞等级 高危 MPS编号 MPS-k3b4-cqrh CVE编号 CVE-2024-35219 漏洞影响广度 漏洞危害 OSCS 描述 OpenAPI Generator Online 是基于 OpenAPI 规范的代码生成器服务,旨在帮助开发人员生成客户端 SDK、服务器端代码、API 文档等。 受影响…
-
Spring Cloud Data Flow < 2.11.3 存在任意文件写入漏洞 (CVE-2024-22263)
漏洞类型 任意文件上传 发现时间 2024-05-29 漏洞等级 严重 MPS编号 MPS-wj3y-50gb CVE编号 CVE-2024-22263 漏洞影响广度 漏洞危害 OSCS 描述 Spring Cloud Data Flow(SCDF)是一个基于微服务的工具包,用于在 Cloud Foundry 和 Kubernetes 中构建流式和批量数据处…