安全通报

Apache Log4j2存在远程代码执行漏洞，攻击者可利用该漏洞向目标服务器发送精心构造的恶意数据，触发Log4j2组件解析缺陷，实现目标服务器的任意代码执行，获得目标服务器权限。

阅读(47)赞 (0)Apache / Log4j2 / 远程代码执行漏洞

GitLab Community Edition存在信息泄露漏洞，具有本地文件系统访问权限的攻击者可利用该漏洞获取系统root级别权限。

阅读(174)赞 (0)GitLab / 信息泄露漏洞

如果Docker.command方法的command参数至少可以由用户部分控制，攻击者可利用该漏洞能够在主机系统上执行任意操作系统命令。

阅读(140)赞 (0)Docker / 代码注入漏洞

VMware vCenter Server存在代码执行漏洞，通过身份验证的远程VAMI攻击者可向TCP端口5480发送一个特别设计的请求，并在目标系统上执行任意代码。

阅读(280)赞 (0)vCenter Server / VMware / 代码执行漏洞

MySQL Server 8.0.25及更早版本中的Server：Optimizer组件存在拒绝服务漏洞，攻击者可利用该漏洞导致MySQL服务器挂起或频繁重复崩溃。

阅读(268)赞 (0)MySQL / 拒绝服务漏洞 / 数据库安全 / 甲骨文(Oracle)

Apache Dubbo是一款微服务开发框架，提供RPC通信与微服务治理两大关键能力，2.7.12版本存在命令执行漏洞 ，攻击者可利用该漏洞获取服务器控制权。

阅读(260)赞 (0)Apache / Dubbo / 命令执行漏洞

锐捷网络股份有限公司是一家主要经营信息系统集成服务、因特网虚拟专用网服务、互联网管理服务等项目的公司。EWEB网管系统存在命令执行漏洞，攻击者可利用该漏洞获取服务器控制权。

阅读(568)赞 (0)命令执行漏洞 / 网管系统 / 锐捷网络

Jenkins存在授权问题漏洞，该漏洞源于Jenkins不会在登录时使之前的会话无效，攻击者可能利用此漏洞获取之前的用户的访问权限。

阅读(389)赞 (0)Jenkins / Web安全 / 授权问题漏洞

当启用对内部网络的webhooks请求时，即使在禁用注册的GitLab实例上，所有受影响版本的服务器端跨站请求伪造漏洞可能被未经身份验证的攻击者利用。

阅读(350)赞 (0)GitLab / Web安全 / 跨站请求伪造漏洞

PostgreSQL 在 4.5.1之前版本pg partman扩展中存在远程代码执行漏洞，由于未设置显式搜索路径，因此可以通过安全定义函数实现任意代码执行。

阅读(382)赞 (0)PostgreSQL / 数据库安全 / 远程代码执行漏洞