| 991 |
CVE-2023-39332 |
严重 |
各种node:fs函数允许将路径指定为字符串或Uint8Array对象。在Node.js环境中���,Buffer类扩展了Uint8Array类。Node.js阻止路径遍历字符串(请参见CVE-2023-30584)和Buffer对象(请参见CVT-2023-32004)���,但不阻止路径遍历非Buffer Uint8Array对象。这与CVE-2023-32004(报告2038134)不同���,后者仅引用Buffer对象。然而���,该漏洞遵循使用Uint8Array而不是Buffer的相同模式。影响���:该漏洞影响所有使用Node.js 20中实验性权限模型的用户。请注意���,在发布此CVE时���,权限模型是Node.js的实验性功能。
|
服务器操作系统 |
2023-10-27 |
| 992 |
CVE-2023-39331 |
严重 |
之前披露的漏洞(CVE-2023-30584)在commit 205f1e6中修补不足。出现新的路径遍历漏洞是因为该实现无法保护自己免受应用程序使用用户定义的实现覆盖内置实用程序函数的影响。请注意���,在发布此CVE时���,权限模型是Node.js的一个实验功能。
|
服务器操作系统 |
2023-10-27 |
| 993 |
CVE-2023-39323 |
中等 |
Google Golang是美国谷歌(Google)公司的一种静态强类型���、编译型语言。Go的语法接近C语言���,但对于变量的声明有所不同。Go支持垃圾回收功能。Go的并行模型是以东尼·霍尔的通信顺序进程(CSP)为基础���,采取类似模型的其他语言包括Occam和Limbo���,但它也具有Pi运算的特征���,比如通道传输。在1.8版本中开放插件(Plugin)的支持���,这意味着现在能从Go中动态加载部分函数。
Google Golang 存在安全漏洞���,该漏洞源于行指令(“//line”)可用于绕过“//go:cgo_”指令的限制���,允许在编译期间传递阻止的链接器和编译器标志,这可能会导致运行go build时意外执行任意代码。
|
服务器操作系统 |
2023-10-27 |
| 994 |
CVE-2023-3745 |
中等 |
ImageMagick存在安全漏洞���,该漏洞源于函数PushCharPixel()存在缓冲区溢出漏洞。
|
服务器操作系统 |
2023-10-27 |
| 995 |
CVE-2023-29453 |
低等 |
Zabbix是Zabbix公司的一套开源的监控系统。该系统支持网络监控���、服务器监控���、云监控和应用监控等。
Zabbix plugin Agent 2 存在安全漏洞���,该漏洞源于Agent 2 包是使用受 CVE-2023-24538 影响的 Go 版本构建的���,模板没有正确地将反引号 (`) 视为 Javascript 字符串分隔符���,也没有按预期转义它们。
|
服务器操作系统 |
2023-10-27 |
| 996 |
CVE-2023-2598 |
中等 |
Linux kernel存在安全漏洞���,该漏洞源于文件io_uring存在问题���,攻击者利用该漏洞可以进行越权访问。
|
服务器操作系统 |
2023-10-27 |
| 997 |
CVE-2023-2430 |
中等 |
由于Linux内核io_uring.c中io_cqring_event_overflow()中的IOPOLL缺少锁���,因此发现了一个漏洞。此漏洞允许具有用户权限的本地攻击者触发拒绝服务。
|
服务器操作系统 |
2023-10-27 |
| 998 |
CVE-2023-22998 |
低等 |
Linux kernel 6.0.3之前版本存在安全漏洞���,该漏洞源于错误指针。
|
服务器操作系统 |
2023-10-27 |
| 999 |
CVE-2023-21106 |
重要 |
Android 存在安全漏洞���,该漏洞源于 adreno_gpu.c 文件的 adreno_set_param 可以导致双重释放���,可能存在内存损坏。
|
服务器操作系统 |
2023-10-27 |
| 1000 |
CVE-2023-20941 |
中等 |
由于Linux内核io_uring.c中io_cqring_event_overflow()中的IOPOLL缺少锁���,因此发现了一个漏洞。此漏洞允许具有用户权限的本地攻击者触发拒绝服务。
|
服务器操作系统 |
2023-10-27 |
| 1001 |
CVE-2022-43551 |
中等 |
curl是一款用于从服务器传输数据或向服务器传输数据的工具。
curl存在安全漏洞���,该漏洞源于HSTS检查被绕过���,以欺骗它继续使用HTTP。攻击者利用该漏洞可以访问curl上的数据���,以读取敏感信息。
|
服务器操作系统 |
2023-10-27 |
| 1002 |
CVE-2023-40217 |
重要 |
Python是Python基金会的一套开源的���、面向对象的程序设计语言。该语言具有可扩展���、支持模块和包���、支持多种平台等特点。
Python 存在安全漏洞���,该漏洞源于在某种情况下使用socket可以造成信息泄露。
|
服务器操作系统 |
2023-10-23 |
| 1003 |
CVE-2020-19909 |
低等 |
curl命令行的retry delay参数值设置过大可能导致整型溢出。
|
服务器操作系统 |
2023-10-19 |
| 1004 |
CVE-2020-15778 |
重要 |
OpenSSH(OpenBSD Secure Shell)是加拿大OpenBSD计划组的一套用于安全访问远程计算机的连接工具。该工具是SSH协议的开源实现���,支持对所有的传输进行加密���,可有效阻止窃听���、连接劫持以及其他网络级的攻击。OpenSSH 8.3p1及之前版本中的scp的scp.c文件存在操作系统命令注入漏洞。该漏洞源于外部输入数据构造操作系统可执行命令过程中���,网络系统或产品未正确过滤其中的特殊字符���、命令等。攻击者可利用该漏洞执行非法操作系统命令。
|
桌面操作系统 |
2023-10-18 |
| 1005 |
CVE-2022-23491 |
重要 |
Certifi是Certifi开源的一个 Python SSL 证书。
Certifi 2017.11.05到2022.12.07版本存在数据伪造问题漏洞���,攻击者利用该漏洞可以从根存储的“TrustCor”中删除根证书。
|
服务器操作系统 |
2023-10-17 |
