Github修復(fù)npm中的兩個(gè)安全漏洞

一、 漏洞描述npm是 Node.js 的包管理工具,用來(lái)安裝各種 Node.js 的擴(kuò)展,后被GitHub收購(gòu)。GitHub本次公開(kāi)披露的兩個(gè)漏洞是近兩個(gè)月在npm中發(fā)現(xiàn)的,第一個(gè)漏洞為信息泄露漏洞,第二個(gè)漏洞為授權(quán)漏洞。二、 漏洞詳情npm信息泄露漏洞CVE: 暫無(wú) 組件: npm漏洞類(lèi)型: 配置問(wèn)題影響: 泄露了私有npm包名簡(jiǎn)述: 該漏洞是npmjs的復(fù)制服務(wù)器上的數(shù)據(jù)泄漏,這是

查看詳細(xì)

VMware Tanzu Application Service拒絕服務(wù)漏洞

一、 漏洞描述該漏洞是由于 VMware Tanzu Application Service for VMs 使用了 Cloud Foundry 的 CAPI (Cloud Controller),CAPI 存在拒絕服務(wù)漏洞。遠(yuǎn)程攻擊者可以利用這個(gè)漏洞,通過(guò)使用 REST HTTP 請(qǐng)求并生成大量的 SQL 查詢(xún)導(dǎo)致數(shù)據(jù)庫(kù)(ccdb)不可用,從而導(dǎo)致服務(wù)被拒絕。二、 漏洞詳情CVE-202

查看詳細(xì)

Hadoop Yarn RPC未授權(quán)訪問(wèn)漏洞

一、 漏洞描述Hadoop Yarn RPC未授權(quán)訪問(wèn)漏洞存在于Hadoop Yarn中負(fù)責(zé)資源管理和任務(wù)調(diào)度的ResourceManager,成因是該組件為用戶(hù)提供的RPC服務(wù)默認(rèn)情況下無(wú)需認(rèn)證即可訪問(wèn),因此把RPC服務(wù)暴露在公網(wǎng)上是非常危險(xiǎn)的。 RPC服務(wù)利用這一問(wèn)題會(huì)影響到部分有安全意識(shí)的用戶(hù)。一部分用戶(hù)基于過(guò)去幾年中基于多種利用Hadoop的歷史蠕蟲(chóng)已經(jīng)意識(shí)到RESTful API的

查看詳細(xì)

SonarQube 未授權(quán)訪問(wèn)漏洞

一、 漏洞描述未授權(quán)的攻擊者可利用 SonarQube 平臺(tái)配置不當(dāng)問(wèn)題訪問(wèn) api/settings/values,從而獲得明文 SMTP、程序源代碼等敏感數(shù)據(jù)。二、 漏洞詳情CVE-2020-27986 : SONARQUBE 未授權(quán)訪問(wèn)漏洞CVE: CVE-2020-27986 組件: SONARQUBE漏洞類(lèi)型: 代碼問(wèn)題影響: 明文 SMTP、程序源代碼等敏感數(shù)據(jù)泄露簡(jiǎn)述:

查看詳細(xì)

Cisco ESA 拒絕服務(wù)漏洞

一、 漏洞描述未經(jīng)身份驗(yàn)證的攻擊者可利用 AsyncOS 里電子郵件掃描算法中存在的漏洞對(duì) Cisco ESA 發(fā)送特制的電子郵件,使目標(biāo)設(shè)備上可用的 CPU 資源被長(zhǎng)時(shí)間耗盡,導(dǎo)致設(shè)備無(wú)法正常處理電子郵件。二、 漏洞詳情CVE-2021-34741 : CISCO ESA 拒絕服務(wù)漏洞CVE: CVE-2021-34741 組件: CISCO ASYNCOS漏洞類(lèi)型: 代碼問(wèn)題影響

查看詳細(xì)