| 946 |
CVE-2020-15778 |
重要 |
OpenSSH(OpenBSD Secure Shell)是加拿大OpenBSD计划组的一套用于安全访问远程计算机的连接工具。该工具是SSH协议的开源实现���,支持对所有的传输进行加密���,可有效阻止窃听���、连接劫持以及其他网络级的攻击。OpenSSH 8.3p1及之前版本中的scp的scp.c文件存在操作系统命令注入漏洞。该漏洞源于外部输入数据构造操作系统可执行命令过程中���,网络系统或产品未正确过滤其中的特殊字符���、命令等。攻击者可利用该漏洞执行非法操作系统命令。
|
桌面操作系统 |
2023-10-18 |
| 947 |
CVE-2022-23491 |
重要 |
Certifi是Certifi开源的一个 Python SSL 证书。
Certifi 2017.11.05到2022.12.07版本存在数据伪造问题漏洞���,攻击者利用该漏洞可以从根存储的“TrustCor”中删除根证书。
|
服务器操作系统 |
2023-10-17 |
| 948 |
CVE-2023-41105 |
重要 |
Python是Python基金会的一套开源的���、面向对象的程序设计语言。该语言具有可扩展���、支持模块和包���、支持多种平台等特点。
Python 3.11版本至3.11.4版本存在安全漏洞���,该漏洞源于存在路径意外截断。
|
服务器操作系统 |
2023-10-17 |
| 949 |
CVE-2022-48564 |
中等 |
Python是Python基金会的一套开源的���、面向对象的程序设计语言。该语言具有可扩展���、支持模块和包���、支持多种平台等特点。
Python 3.9.1 存在安全漏洞���,该漏洞源于 plistlib.py 中的 read_ints 很容易因 CPU 和 RAM 耗尽而受到潜在的 DoS 攻击。
|
服务器操作系统 |
2023-10-17 |
| 950 |
CVE-2023-4807 |
重要 |
OpenSSL是OpenSSL团队的一个开源的能够实现安全套接层(SSLv2/v3)和安全传输层(TLSv1)协议的通用加密库。该产品支持多种加密算法���,包括对称密码���、哈希算法���、安全散列算法等。
OpenSSL 1.1.1 至 1.1.1v版本���、3.0.0 至 3.0.10 版本以及 3.1.0 至 3.1.2版本存在安全漏洞���,该漏洞源于POLY1305 MAC(消息身份验证代码)包含一个错误���,当在支持 AVX512-IFMA 指令的较新 X86_64 处理器上运行时���,可能会破坏 Windows 64 平台上的应用程序内部状态。
|
服务器操作系统 |
2023-10-16 |
| 951 |
CVE-2023-4807 |
重要 |
OpenSSL是OpenSSL团队的一个开源的能够实现安全套接层(SSLv2/v3)和安全传输层(TLSv1)协议的通用加密库。该产品支持多种加密算法���,包括对称密码���、哈希算法���、安全散列算法等。
OpenSSL 1.1.1 至 1.1.1v版本���、3.0.0 至 3.0.10 版本以及 3.1.0 至 3.1.2版本存在安全漏洞���,该漏洞源于POLY1305 MAC(消息身份验证代码)包含一个错误���,当在支持 AVX512-IFMA 指令的较新 X86_64 处理器上运行时���,可能会破坏 Windows 64 平台上的应用程序内部状态。
|
服务器操作系统 |
2023-10-16 |
| 952 |
CVE-2023-32001 |
中等 |
curl是一款用于从服务器传输数据或向服务器传输数据的工具。
curl存在安全漏洞���,该漏洞源于容易受到 TOCTOU 竞争条件问题的影响���,攻击者利用该漏洞可以欺骗受害者以非预期的方式创建或覆盖保存此数据的受保护文件。
|
服务器操作系统 |
2023-10-16 |
| 953 |
CVE-2023-42753 |
重要 |
Linux kernel是美国Linux基金会的开源操作系统Linux所使用的内核。
Linux kernel 6.6 版本存在缓冲区错误漏洞���,该漏洞源于netfilter 子系统中发现了一个数组索引���, 丢失的宏可能会导致h->nets数组偏移量计算错误���,从而为攻击者提供了任意增加或减少内存缓冲区越界的原语���,导致系统崩溃或权限提升。
|
服务器操作系统 |
2023-10-14 |
| 954 |
CVE-2023-42753 |
重要 |
Linux kernel是美国Linux基金会的开源操作系统Linux所使用的内核。
Linux kernel 6.6 版本存在缓冲区错误漏洞���,该漏洞源于netfilter 子系统中发现了一个数组索引���, 丢失的宏可能会导致h->nets数组偏移量计算错误���,从而为攻击者提供了任意增加或减少内存缓冲区越界的原语���,导致系统崩溃或权限提升。
|
服务器操作系统 |
2023-10-14 |
| 955 |
CVE-2023-42467 |
低等 |
QEMU(Quick Emulator)是法国法布里斯-贝拉(Fabrice Bellard)个人开发者的一套模拟处理器软件。该软件具有速度快���、跨平台等特点。
QEMU 8.0.0版本及之前版本存在安全漏洞。攻击者利用该漏洞导致系统崩溃。
|
服务器操作系统 |
2023-10-14 |
| 956 |
CVE-2023-4236 |
重要 |
ISC BIND是美国ISC公司的一套实现了DNS协议的开源软件。
BIND 9版本存在安全漏洞���,该漏洞源于断言失败而意外终止。
|
服务器操作系统 |
2023-10-14 |
| 957 |
CVE-2023-39319 |
中等 |
Google Golang是美国谷歌(Google)公司的一种静态强类型���、编译型语言。Go的语法接近C语言���,但对于变量的声明有所不同。Go支持垃圾回收功能。Go的并行模型是以东尼·霍尔的通信顺序进程(CSP)为基础���,采取类似模型的其他语言包括Occam和Limbo���,但它也具有Pi运算的特征���,比如通道传输。在1.8版本中开放插件(Plugin)的支持���,这意味着现在能从Go中动态加载部分函数。
Google Golang 存在安全漏洞���,该漏洞源于没有应用正确的规则���,从而导致操作被错误地转义���,这可能会被用来执行跨站脚本(XSS)攻击
|
服务器操作系统 |
2023-10-14 |
| 958 |
CVE-2023-39318 |
中等 |
Google Golang是美国谷歌(Google)公司的一种静态强类型���、编译型语言。Go的语法接近C语言���,但对于变量的声明有所不同。Go支持垃圾回收功能。Go的并行模型是以东尼·霍尔的通信顺序进程(CSP)为基础���,采取类似模型的其他语言包括Occam和Limbo���,但它也具有Pi运算的特征���,比如通道传输。在1.8版本中开放插件(Plugin)的支持���,这意味着现在能从Go中动态加载部分函数。
Google Golang 存在跨站脚本漏洞���,该漏洞源于无法正确处理类似HTML的注释标记���,从而导致操作被错误地转义���,这可能会被用来执行跨站脚本(XSS)攻击。
|
服务器操作系统 |
2023-10-14 |
| 959 |
CVE-2023-3824 |
严重 |
在8.0.30之前的PHP 8.0.*版本���、8.1.22之前的8.1.*版本和8.2.8之前的8.2.*版本中���,在加载phar文件时���,在读取phar目录项时���,长度检查不足可能会导致堆栈缓冲区溢出���,从而可能导致内存损坏或RCE。
|
服务器操作系统 |
2023-10-13 |
| 960 |
CVE-2023-3823 |
重要 |
在8.0.30之前的8.0.*���、8.1.22之前的8.1.*和8.2.8之前的8.2.*版本中���,各种XML函数都依赖于libxml全局状态来跟踪配置变量���,比如是否加载了外部实体。除非用户通过调用适当的函数显式地更改此状态���,否则假定此状态不变。然而���,由于状态是进程全局的���,其他模块(如ImageMagick)也可以在同一进程中使用此库���,并出于内部目的更改该全局状态���,并使其处于启用外部实体加载的状态。这可能导致在加载外部实体的情况下解析外部XML���,从而导致PHP可访问的任何本地文件被泄露。这种易受攻击的状态可能会在多个请求的同一进程中持续存在���,直到进程关闭。
|
服务器操作系统 |
2023-10-13 |
