| 1246 |
CVE-2023-23916 |
中等 |
curl支持链式HTTP压缩算法���,这意味着服务器响应可以多次压缩���,并且可能使用不同的算法。这个解压缩链中可接受的链接数量是有上限的���,但是上限是在每个头的基础上实现的���,这使得恶意服务器只需使用许多头就可以插入几乎无限数量的压缩步骤。使用这样的解压缩链可能会导致malloc炸弹���,使curl最终花费大量分配的堆内存���,或者尝试并返回内存外错误。
|
服务器操作系统 |
2023-03-24 |
| 1247 |
CVE-2023-26464 |
重要 |
当在低于 1.7 的 JRE 上使用带有 Log4j 1.x 的 Chainsaw 或 SocketAppender 组件时���,攻击者设法导致涉及特制(即深度嵌套)哈希图或哈希表(取决于正在使用日志记录组件)进行处理可能会耗尽虚拟机中的可用内存���,并在反序列化对象时实现拒绝服务。此问题影响 Apache Log4j 2 之前版本。建议受影响的用户更新至 Log4j 2.x。注意:此漏洞仅影响维护者不再支持的产品。
|
服务器操作系统 |
2023-03-24 |
| 1248 |
CVE-2023-26053 |
中等 |
Gradle是美国Gradle公司的一套基于JVM的项目构建工具���,它支持maven���、Ivy仓库等。
Gradle存在安全漏洞���,该漏洞源于如果在依赖性验证元数据的信任元素中使用指纹以外的任何内容���,将导致依赖性验证失败。
|
服务器操作系统 |
2023-03-24 |
| 1249 |
CVE-2023-24807 |
重要 |
Undici是Node.js的HTTP/1.1客户端。当不受信任的值传递到函数时���,“Headers.set()”和“Headers.append()”方法容易受到正则表达式拒绝服务(ReDoS)攻击。这是由于用于规范化“headerValueNormalize()”实用程序函数中的值的正则表达式效率低下。
|
服务器操作系统 |
2023-03-24 |
| 1250 |
CVE-2023-24533 |
重要 |
Google Golang是美国谷歌(Google)公司的一种静态强类型���、编译型语言。Go的语法接近C语言���,但对于变量的声明有所不同。Go支持垃圾回收功能。Go的并行模型是以东尼·霍尔的通信顺序进程(CSP)为基础���,采取类似模型的其他语言包括Occam和Limbo���,但它也具有Pi运算的特征���,比如通道传输。在1.8版本中开放插件(Plugin)的支持���,这意味着现在能从Go中动态加载部分函数。
Google Golang 存在安全漏洞���,该漏洞源于使用某些方法时结果返回不正确。
|
服务器操作系统 |
2023-03-24 |
| 1251 |
CVE-2023-24532 |
中等 |
Google Golang是美国谷歌(Google)公司的一种静态强类型���、编译型语言。Go的语法接近C语言���,但对于变量的声明有所不同。Go支持垃圾回收功能。Go的并行模型是以东尼·霍尔的通信顺序进程(CSP)为基础���,采取类似模型的其他语言包括Occam和Limbo���,但它也具有Pi运算的特征���,比如通道传输。在1.8版本中开放插件(Plugin)的支持���,这意味着现在能从Go中动态加载部分函数。
Google Golang 存在安全漏洞���,该漏洞源于使用某些方法时结果返回不正确。
|
服务器操作系统 |
2023-03-24 |
| 1252 |
CVE-2023-23919 |
重要 |
nodejs在某些情况下���,该漏洞在可能设置OpenSSL错误堆栈的操作后无法清除该错误堆栈。这可能会导致在同一线程上的后续加密操作中出现误报错误。这反过来又可能被用来造成拒绝服务。
|
服务器操作系统 |
2023-03-24 |
| 1253 |
CVE-2023-20860 |
重要 |
SpringFramework存在身份认证绕过漏洞���,当SpringSecurity使用mvcRequestMatcher配置并将"**"作为匹配模式时���,在SpringSecurity和 Spring MVC 之间会发生模式不匹配���,最终可能导致身份认证绕过
|
服务器操作系统 |
2023-03-24 |
| 1254 |
CVE-2022-36397 |
重要 |
4.17版本之前的Linux的一些Intel(R) QAT驱动程序的软件安装程序中的错误默认权限可能允许已验证的用户通过本地访问潜在地启用特权升级。
|
服务器操作系统 |
2023-03-24 |
| 1255 |
CVE-2019-1756 |
重要 |
Cisco IOS XE是美国思科(Cisco)公司的一套为其网络设备开发的操作系统。Cisco IOS XE中存在输入验证漏洞���,该漏洞源于程序没有正确地过滤用户提交的输入。当Web服务器功能被启用时���,攻击者可通过提交带有恶意payload的用户名利用该漏洞以root用户身份执行任意命令。
|
服务器操作系统 |
2023-03-24 |
| 1256 |
CVE-2002-1377 |
重要 |
Vim是一款开源的���、可配置的用于创建和更改任何类型文本的文本编辑器���,它可使用在大多数UNIX系统和Apple OS X中。
VIM的modelines功能对用户输入缺少正确过滤���,本地攻击者可以利用这个漏洞通过modeline功能执行任意命令。
根据报告VIM的modelines功能存在问题���,Modelines功能允许在文本文件开头结尾放置指令来指定编辑器怎样处理文件中的部分元素���,但是由于输入处理不正确���,通过在文本文件中设置恶意标记���,诱使用户打开时以其他用户权限执行任意命令。
|
服务器操作系统 |
2023-03-24 |
| 1257 |
CVE-2023-27986 |
重要 |
Emacs 28.1至28.2中的emacsclient-mail.desktop存在漏洞���,可通过精心制作的mailto: URI和未转义的双引号字符进行Emacs Lisp代码注入。
|
服务器操作系统 |
2023-03-21 |
| 1258 |
CVE-2023-27985 |
重要 |
Emacs 28.1至28.2中的emacsclient-mail.desktop存在漏洞���,可通过精心设计的mailto: URI注入shell命令。
|
服务器操作系统 |
2023-03-21 |
| 1259 |
CVE-2023-25139 |
重要 |
GNU C Library(glibc���,libc6)是一种按照LGPL许可协议发布的开源免费的C语言编译程序。
GNU C Library 存在安全漏洞���,该漏洞源于 sprintf 在某些缓冲区大小正确的情况下会出现缓冲区溢出(越界写入)。
|
服务器操作系统 |
2023-03-21 |
| 1260 |
CVE-2023-1355 |
低等 |
在vim软件包的src/vim9class.c文件的class_object_index()函数中���,存在可能的空指针引用���,这会导致Segmentation fault (core dumped)和程序崩溃的问题。
|
服务器操作系统 |
2023-03-21 |
