murphysec

漏洞类型 任意文件上传 发现时间 2024-03-20 漏洞等级 高危 MPS编号 MPS-k1cj-eg7w CVE编号 CVE-2023-51444 漏洞影响广度 广 漏洞危害 OSCS 描述 GeoServer是一个用Java编写的开源软件服务器，允许用户共享和编辑地理空间数据。 GeoServer受影响版本中存在任意文件上传漏洞。由于未验证用户输入的…

漏洞类型 访问控制不当 发现时间 2024-03-18 漏洞等级 高危 MPS编号 MPS-ucl7-dyox CVE编号 CVE-2024-22257 漏洞影响广度 广 漏洞危害 OSCS 描述 Spring Security 是基于Spring应用程序的认证和访问控制框架 Spring Security在处理Authentication参数时没有对nul…

背景 开源软件安全威胁是近几年企业安全面临的主要威胁，也是企业应用安全方向讨论的热门话题，但是由于是新的需求新的方向，很多企业在观望，当前开展这项工作是否已经成熟，项目成功率如何？ 当新鲜事物产生时，首先我们应该积极的态度去拥抱它，但是它是不是真的值得我们投入（包括当下工作和未来个人技术成长），就需要客观的分析其必要性，同时结合自身情况了解它的可行性。 开源…

漏洞类型 未授权敏感信息泄露 发现时间 2024-03-15 漏洞等级 严重 MPS编号 MPS-kfgl-etid CVE编号 CVE-2024-23944 漏洞影响广度 一般 漏洞危害 OSCS 描述 Apache ZooKeeper是一个开源的分布式协调服务，persistent watchers 是对节点的监控机制。 受影响版本中，由于 addWat…

漏洞类型 SSRF 发现时间 2024-03-15 漏洞等级 中危 MPS编号 MPS-lhqv-numb CVE编号 CVE-2024-28752 漏洞影响广度 小 漏洞危害 OSCS 描述 Apache CXF 是开源的Web服务框架，Aegis databinding 是将 XML/JSON 数据和对象进行转换的数据绑定功能。 受影响版本中，由于 At…

漏洞类型 CSRF 发现时间 2024-03-14 漏洞等级 严重 MPS编号 MPS-foxv-68g9 CVE编号 CVE-2024-28175 漏洞影响广度 广 漏洞危害 OSCS 描述 Argo CD 是一个声明式的 GitOps 持续交付工具，用于在 Kubernetes 环境中进行应用程序的持续交付和部署管理。 受影响版本中，由于未对 argoc…

漏洞类型 SSRF 发现时间 2024-03-14 漏洞等级 高危 MPS编号 MPS-vhl4-ut8e CVE编号 CVE-2024-22259 漏洞影响广度 广 漏洞危害 OSCS 描述 Spring Framework 是一个开源的Java应用程序框架，UriComponentsBuilder是Spring Web中用于构建和操作URI的工具类。 由…

漏洞类型 授权检查错误 发现时间 2024-03-13 漏洞等级 中危 MPS编号 MPS-2zt9-up36 CVE编号 CVE-2024-28098 漏洞影响广度 一般 漏洞危害 OSCS 描述 Apache Pulsar 是开源的分布式发布-订阅消息传递系统，主题级策略管理模块允许高权限用户（如租户管理员或超级用户角色）对主题应用特定的配置和策略。 受…