Github修復(fù)npm中的兩個安全漏洞

一、 漏洞描述npm是 Node.js 的包管理工具,用來安裝各種 Node.js 的擴展,后被GitHub收購。GitHub本次公開披露的兩個漏洞是近兩個月在npm中發(fā)現(xiàn)的,第一個漏洞為信息泄露漏洞,第二個漏洞為授權(quán)漏洞。二、 漏洞詳情npm信息泄露漏洞CVE: 暫無 組件: npm漏洞類型: 配置問題影響: 泄露了私有npm包名簡述: 該漏洞是npmjs的復(fù)制服務(wù)器上的數(shù)據(jù)泄漏,這是

查看詳細

VMware Tanzu Application Service拒絕服務(wù)漏洞

一、 漏洞描述該漏洞是由于 VMware Tanzu Application Service for VMs 使用了 Cloud Foundry 的 CAPI (Cloud Controller),CAPI 存在拒絕服務(wù)漏洞。遠程攻擊者可以利用這個漏洞,通過使用 REST HTTP 請求并生成大量的 SQL 查詢導(dǎo)致數(shù)據(jù)庫(ccdb)不可用,從而導(dǎo)致服務(wù)被拒絕。二、 漏洞詳情CVE-202

查看詳細

Hadoop Yarn RPC未授權(quán)訪問漏洞

一、 漏洞描述Hadoop Yarn RPC未授權(quán)訪問漏洞存在于Hadoop Yarn中負責資源管理和任務(wù)調(diào)度的ResourceManager,成因是該組件為用戶提供的RPC服務(wù)默認情況下無需認證即可訪問,因此把RPC服務(wù)暴露在公網(wǎng)上是非常危險的。 RPC服務(wù)利用這一問題會影響到部分有安全意識的用戶。一部分用戶基于過去幾年中基于多種利用Hadoop的歷史蠕蟲已經(jīng)意識到RESTful API的

查看詳細

SonarQube 未授權(quán)訪問漏洞

一、 漏洞描述未授權(quán)的攻擊者可利用 SonarQube 平臺配置不當問題訪問 api/settings/values,從而獲得明文 SMTP、程序源代碼等敏感數(shù)據(jù)。二、 漏洞詳情CVE-2020-27986 : SONARQUBE 未授權(quán)訪問漏洞CVE: CVE-2020-27986 組件: SONARQUBE漏洞類型: 代碼問題影響: 明文 SMTP、程序源代碼等敏感數(shù)據(jù)泄露簡述:

查看詳細

Cisco ESA 拒絕服務(wù)漏洞

一、 漏洞描述未經(jīng)身份驗證的攻擊者可利用 AsyncOS 里電子郵件掃描算法中存在的漏洞對 Cisco ESA 發(fā)送特制的電子郵件,使目標設(shè)備上可用的 CPU 資源被長時間耗盡,導(dǎo)致設(shè)備無法正常處理電子郵件。二、 漏洞詳情CVE-2021-34741 : CISCO ESA 拒絕服務(wù)漏洞CVE: CVE-2021-34741 組件: CISCO ASYNCOS漏洞類型: 代碼問題影響

查看詳細