当前节点:cve-famous
时间节点
2021年12月9日 10:38知名组件CVE监控
有新的漏洞组件被发现啦,组件ID:Citrix Adc
An uncontrolled resource consumption vulnerability exists in Citrix ADC <13.0-83.27, <12.1-63.22 and 11.1-65.23 that could allow an attacker with access to NSIP or SNIP with management interface access to cause a temporary disruption of the Management GUI, Nitro API, and RPC communication.

Citrix ADC < 13.0-83.27、 < 12.1-63.22和11.1-65.23中存在一个不受控制的资源消耗漏洞,允许具有管理接口访问权限的 NSIP 或 SNIP 的攻击者暂时中断 Management GUI、 Nitro API 和 RPC 通信。
2021年12月9日 10:38知名组件CVE监控
有新的漏洞组件被发现啦,组件ID:Citrix Adc
A unauthenticated denial of service vulnerability exists in Citrix ADC <13.0-83.27, <12.1-63.22 and 11.1-65.23 when configured as a VPN (Gateway) or AAA virtual server could allow an attacker to cause a temporary disruption of the Management GUI, Nitro API, and RPC communication.

在 Citrix ADC < 13.0-83.27,< 12.1-63.22和11.1-65.23中存在未经身份验证的分布式拒绝服务攻击安全漏洞,当被配置为 VPN (网关)或 AAA 虚拟服务器时,攻击者可能会暂时中断 Management GUI、 Nitro API 和 RPC 通信。
2021年12月7日 18:38知名组件CVE监控
有新的漏洞组件被发现啦,组件ID:GitLab
It was possible to bypass 2FA for LDAP users and access some specific pages with Basic Authentication in GitLab 14.1.1 and above.

在 GitLab 14.1.1及以上版本中,可以绕过 LDAP 用户的2fa 访问一些特定的页面。
2021年12月7日 18:38知名组件CVE监控
有新的漏洞组件被发现啦,组件ID:ThinkPHP
ThinkPHP v6.0.8 was discovered to contain a deserialization vulnerability via the component League\Flysystem\Cached\Storage\AbstractCache.

6.0.8通过组件 League Flysystem cache Storage AbstractCache 被发现包含一个反序列化漏洞。
2021年12月7日 18:38知名组件CVE监控
有新的漏洞组件被发现啦,组件ID:ThinkPHP
ThinkPHP v6.0.8 was discovered to contain a deserialization vulnerability via the component vendor\league\flysystem-cached-adapter\src\Storage\Adapter.php.

ThinkPHP v6.0.8通过组件供应商联盟 flysystem-cache-adapter src Storage Adapter.php 发现包含一个反序列化漏洞。
2021年12月7日 18:37知名组件CVE监控
有新的漏洞组件被发现啦,组件ID:通达
2021年12月7日 18:37知名组件CVE监控
2021年12月7日 18:37知名组件CVE监控
有新的漏洞组件被发现啦,组件ID:通达
2021年12月7日 18:37知名组件CVE监控
有新的漏洞组件被发现啦,组件ID:通达
2021年12月7日 18:37知名组件CVE监控
有新的漏洞组件被发现啦,组件ID:通达
2021年12月7日 18:37知名组件CVE监控
有新的漏洞组件被发现啦,组件ID:通达
2021年12月7日 18:37知名组件CVE监控
有新的漏洞组件被发现啦,组件ID:通达
2021年12月7日 18:37知名组件CVE监控
有新的漏洞组件被发现啦,组件ID:通达
2021年12月7日 18:37知名组件CVE监控
有新的漏洞组件被发现啦,组件ID:通达
2021年12月7日 18:37知名组件CVE监控
有新的漏洞组件被发现啦,组件ID:通达
2021年12月7日 18:37知名组件CVE监控
有新的漏洞组件被发现啦,组件ID:深信服
2021年12月7日 18:37知名组件CVE监控
有新的漏洞组件被发现啦,组件ID:网御星云
2021年12月7日 18:37知名组件CVE监控
有新的漏洞组件被发现啦,组件ID:GitLab
Assuming a database breach, nonce reuse issues in GitLab 11.6+ allows an attacker to decrypt some of the database's encrypted content

假设数据库遭到破坏,GitLab 11.6 + 中的 nonce 重用问题允许攻击者解密数据库的一些加密内容
2021年12月6日 22:39知名组件CVE监控
有新的漏洞组件被发现啦,组件ID:Apache
An issue was discovered in Kaseya Unitrends Backup Appliance before 10.5.5. The apache user could read arbitrary files such as /etc/shadow by abusing an insecure Sudo rule.

在10.5.5之前,Kaseya Unitrends 备份设备发现了一个问题。Apache 用户可以通过滥用不安全的 Sudo 规则来读取任意文件,比如/etc/shadow。
2021年12月6日 22:38知名组件CVE监控
有新的漏洞组件被发现啦,组件ID:Apache
An issue was discovered in Kaseya Unitrends Backup Appliance before 10.5.5. A world writable file allowed local users to execute arbitrary code as the user apache, leading to privilege escalation.

在10.5.5之前,Kaseya Unitrends 备份设备发现了一个问题。一个全世界可写的文件允许本地用户以 apache 用户的身份执行任意代码,从而导致权限提升。
2021年12月5日 14:45知名组件CVE监控
2021年12月4日 18:45知名组件CVE监控
有新的漏洞组件被发现啦,组件ID:Jupyter
IBM Cognos Analytics 11.1.7 and 11.2.0 could allow an authenticated to view or edit a Jupyter notebook that they should not have access to. IBM X-Force ID: 206212.

IBM Cognos Analytics 11.1.7和11.2.0可以允许经过身份验证的用户查看或编辑他们不应该访问的 Jupyter 笔记本。IBM X-Force ID: 206212.
2021年12月3日 22:47知名组件CVE监控
有新的漏洞组件被发现啦,组件ID:ThinkPHP
thinkphp-bjyblog (last update Jun 4 2021) is affected by a Cross Site Scripting (XSS) vulnerability in AdminBaseController.class.php. The exit function will terminate the script and print the message to the user which has $_SERVER['HTTP_HOST'].

Thinkphp-bjyblog (2021年6月4日最新更新)受 AdminBaseController.class.php 中的跨网站脚本安全漏洞影响。退出函数将终止脚本并将消息打印到具有 $_ SERVER [‘ http_host’]的用户。
2021年12月3日 22:46知名组件CVE监控
有新的漏洞组件被发现啦,组件ID:ECShop
ecshop v2.7.3 is affected by a SQL injection vulnerability in shopex\ecshop\upload\api\client\api.php.

Ecshop v2.7.3受到 shopex ecshop upload api client api.php 中 SQL 注入漏洞的影响。
2021年12月3日 08:16知名组件CVE监控
有新的漏洞组件被发现啦,组件ID:Django
django-helpdesk is vulnerable to Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting')

Django-helpdesk 在网页生成过程中容易受到不当中和输入的影响(“跨网站脚本”)
2021年11月30日 23:47知名组件CVE监控
有新的漏洞组件被发现啦,组件ID:ThinkPHP
An unspecified version of Workerman-ThinkPHP-Redis is affected by a Cross Site Scripting (XSS) vulnerability. In file Controller.class.php, the exit function will terminate the script and print the message to the user. The message will contain $_GET{C('VAR_JSONP_HANDLER')] then there is a XSS vulnerability.

一个未指定版本的 Workerman-ThinkPHP-Redis 受到跨网站脚本安全漏洞(XSS)的影响。在文件 Controller.class.php 中,exit 函数将终止脚本并将消息打印给用户。该消息将包含 $_ GET { c (‘ VAR _ jsonp _ handler’)] ,那么就存在一个 XSS 漏洞。
2021年11月25日 23:44知名组件CVE监控
有新的漏洞组件被发现啦,组件ID:Apache
Remote attackers may delete arbitrary files in a system hosting a JSPWiki instance, versions up to 2.11.0.M8, by using a carefuly crafted http request on logout, given that those files are reachable to the user running the JSPWiki instance. Apache JSPWiki users should upgrade to 2.11.0 or later.

远程攻击者可能会删除系统中的任意文件,这些文件包含一个 JSPWiki 实例,版本高达2.11.0。8,通过在注销时使用一个谨慎制作的 http 请求,假设这些文件对于运行 JSPWiki 实例的用户是可达的。Apache JSPWiki 用户应该升级到2.11.0或更高版本。
2021年11月25日 23:43知名组件CVE监控
有新的漏洞组件被发现啦,组件ID:Apache
A carefully crafted plugin link invocation could trigger an XSS vulnerability on Apache JSPWiki, related to the Denounce plugin, which could allow the attacker to execute javascript in the victim's browser and get some sensitive information about the victim. Apache JSPWiki users should upgrade to 2.11.0 or later.

一个精心设计的插件链接调用可能会触发 Apache JSPWiki 上的 XSS 漏洞,这个漏洞与谴责插件有关,它允许攻击者在受害者的浏览器中执行 javascript,并获取受害者的一些敏感信息。Apache JSPWiki 用户应该升级到2.11.0或更高版本。
2021年11月25日 03:48知名组件CVE监控
有新的漏洞组件被发现啦,组件ID:Flask
Redash is a package for data visualization and sharing. In Redash version 10.0 and prior, the implementation of Google Login (via OAuth) incorrectly uses the `state` parameter to pass the next URL to redirect the user to after login. The `state` parameter should be used for a Cross-Site Request Forgery (CSRF) token, not a static and easily predicted value. This vulnerability does not affect users who do not use Google Login for their instance of Redash. A patch in the `master` and `release/10.x.x` branches addresses this by replacing `Flask-Oauthlib` with `Authlib` which automatically provides and validates a CSRF token for the state variable. The new implementation stores the next URL on the user session object. As a workaround, one may disable Google Login to mitigate the vulnerability.

是一个数据可视化和分享的软件包。在 Redash 版本10.0和之前的版本中,Google Login 的实现(通过 OAuth)错误地使用了“ state”参数来传递下一个 URL,以便在登录后将用户重定向到。状态参数应该用于跨站请求伪造令牌(CSRF) ,而不是静态且容易预测的值。这个漏洞不会影响那些不使用 Google Login 作为其 Redash 实例的用户。在‘ master’和‘ 
2021年11月25日 03:46知名组件CVE监控
有新的漏洞组件被发现啦,组件ID:Django
In Django-wiki, versions 0.0.20 to 0.7.8 are vulnerable to Stored Cross-Site Scripting (XSS) in Notifications Section. An attacker who has access to edit pages can inject JavaScript payload in the title field. When a victim gets a notification regarding the changes made in the application, the payload in the notification panel renders and loads external JavaScript.

在 Django-wiki 中,0.0.20到0.7.8版本容易受到通知部分的存储跨网站脚本(XSS)的攻击。可以编辑页面的攻击者可以在 title 字段中注入 JavaScript 有效负载。当受害者收到关于应用程序更改的通知时,通知面板中的有效负载将呈现并加载外部 JavaScript。
2021年11月25日 03:45知名组件CVE监控
有新的漏洞组件被发现啦,组件ID:RTX
Improper neutralization of HTTP request headers for scripting syntax vulnerability in the Web GUI of RTX830 Rev.15.02.17 and earlier, NVR510 Rev.15.01.18 and earlier, NVR700W Rev.15.00.19 and earlier, and RTX1210 Rev.14.01.38 and earlier allows a remote authenticated attacker to obtain sensitive information via a specially crafted web page.

在 RTX830 rev. 15.02.17及更早版本,NVR510 rev. 15.01.18及更早版本,NVR700W rev. 15.00.19及更早版本,以及 RTX1210 rev. 14.01.38及更早版本的 Web GUI 中,由于脚本语法漏洞而错误中和 HTTP 请求头信息,使得远程认证的攻击者可以通过特制的 Web 页面获取敏感信息。
2021年11月25日 03:45知名组件CVE监控
有新的漏洞组件被发现啦,组件ID:RTX
Cross-site script inclusion vulnerability in the Web GUI of RTX830 Rev.15.02.17 and earlier, NVR510 Rev.15.01.18 and earlier, NVR700W Rev.15.00.19 and earlier, and RTX1210 Rev.14.01.38 and earlier allows a remote authenticated attacker to alter the settings of the product via a specially crafted web page.

RTX830 rev. 15.02.17及更早版本、 NVR510 rev. 15.01.18及更早版本、 NVR700W rev. 15.00.19及更早版本、 RTX1210 rev. 14.01.38及更早版本的 Web GUI 中的跨站点脚本包含漏洞允许远程认证的攻击者通过特制的 Web 页面改变产品的设置。
2021年11月24日 07:43知名组件CVE监控
有新的漏洞组件被发现啦,组件ID:Docker
This affects all versions of package docker-cli-js. If the command parameter of the Docker.command method can at least be partially controlled by a user, they will be in a position to execute any arbitrary OS commands on the host system.

这会影响到包 docker-cli-js 的所有版本。如果 docker. com command 方法的命令参数至少可以部分地由用户控制,那么它们将能够在主机系统上执行任意的操作系统命令。
2021年11月23日 11:44知名组件CVE监控
有新的漏洞组件被发现啦,组件ID:Apache
The uri-block plugin in Apache APISIX before 2.10.2 uses $request_uri without verification. The $request_uri is the full original request URI without normalization. This makes it possible to construct a URI to bypass the block list on some occasions. For instance, when the block list contains "^/internal/", a URI like `//internal/` can be used to bypass it. Some other plugins also have the same issue. And it may affect the developer's custom plugin.

Apache APISIX 中的 uri-block 插件在2.10.2之前使用 $request _ uri 而不进行验证。$request _ URI 是完整的原始请求 URI,没有进行标准化。这使得在某些情况下可以构造一个 URI 来绕过阻止列表。例如,当块列表包含“ ^/internal/”时,可以使用‘/internal/’之类的 URI 绕过它。其他一些插件也有同样的问题。这可能会影响开发者的自定义插件。
2021年11月20日 23:47知名组件CVE监控
有新的漏洞组件被发现啦,组件ID:Apache
In Apache Ozone before 1.2.0, Recon HTTP endpoints provide access to OM, SCM and Datanode metadata. Due to a bug, any unauthenticated user can access the data from these endpoints.

在1.2.0之前的 Apache Ozone 中,Recon HTTP 端点提供了对 OM、 SCM 和 Datanode 元数据的访问。由于错误,任何未经身份验证的用户都可以从这些端点访问数据。
2021年11月20日 23:46知名组件CVE监控
有新的漏洞组件被发现啦,组件ID:Django
django-helpdesk is vulnerable to Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting')

Django-helpdesk 在网页生成过程中容易受到不当中和输入的影响(“跨网站脚本”)
2021年11月20日 23:46知名组件CVE监控
有新的漏洞组件被发现啦,组件ID:Apache
In Apache Ozone before 1.2.0, Authenticated users with valid Ozone S3 credentials can create specific OM requests, impersonating any other user.

在1.2.0之前的 Apache Ozone 中,具有有效 Ozone s3凭证的经过身份验证的用户可以创建特定的 OM 请求,模拟任何其他用户。
2021年11月20日 23:45知名组件CVE监控
有新的漏洞组件被发现啦,组件ID:Apache
In Apache Ozone before 1.2.0, Ozone Datanode doesn't check the access mode parameter of the block token. Authenticated users with valid READ block token can do any write operation on the same block.

在1.2.0之前的 Apache Ozone 中,Ozone Datanode 不检查块令牌的访问模式参数。具有有效 READ 块令牌的经过身份验证的用户可以在同一块上执行任何写操作。
2021年11月20日 23:45知名组件CVE监控
有新的漏洞组件被发现啦,组件ID:Apache
In Apache Ozone versions prior to 1.2.0, Authenticated users knowing the ID of an existing block can craft specific request allowing access those blocks, bypassing other security checks like ACL.

在1.2.0之前的 Apache Ozone 版本中,认证用户知道现有块的 ID 可以发送特定的请求允许访问这些块,绕过其他安全检查,如 ACL。
2021年11月20日 23:45知名组件CVE监控
有新的漏洞组件被发现啦,组件ID:Apache
In Apache Ozone versions prior to 1.2.0, Container related Datanode requests of Ozone Datanode were not properly authorized and can be called by any client.

在1.2.0之前的 Apache Ozone 版本中,Ozone 数据阳极的容器相关数据阳极请求没有正确授权,可以由任何客户机调用。
2021年11月20日 23:45知名组件CVE监控
有新的漏洞组件被发现啦,组件ID:Apache
In Apache Ozone versions prior to 1.2.0, certain admin related SCM commands can be executed by any authenticated users, not just by admins.

在1.2.0之前的 Apache Ozone 版本中,某些与管理相关的 SCM 命令可以由任何经过身份验证的用户执行,而不仅仅是管理员。
2021年11月20日 23:45知名组件CVE监控
有新的漏洞组件被发现啦,组件ID:Apache
In Apache Ozone versions prior to 1.2.0, Various internal server-to-server RPC endpoints are available for connections, making it possible for an attacker to download raw data from Datanode and Ozone manager and modify Ratis replication configuration.

在1.2.0之前的 Apache Ozone 版本中,各种内部服务器到服务器的 RPC 端点可用于连接,使攻击者可以从 Datanode 和 Ozone 管理器下载原始数据并修改 Ratis 复制配置。
2021年11月20日 23:45知名组件CVE监控
有新的漏洞组件被发现啦,组件ID:Apache
In Apache Ozone versions prior to 1.2.0, Initially generated block tokens are persisted to the metadata database and can be retrieved with authenticated users with permission to the key. Authenticated users may use them even after access is revoked.

在1.2.0之前的 Apache Ozone 版本中,最初生成的块令牌被持久化到元数据库中,并且可以通过对密钥具有权限的经过身份验证的用户进行检索。经过身份验证的用户即使在访问被撤销后也可以使用它们。
2021年11月20日 03:45知名组件CVE监控
有新的漏洞组件被发现啦,组件ID:RoundCube
Roundcube before 1.3.17 and 1.4.x before 1.4.12 is prone to a potential SQL injection via search or search_params.

1.3.17和1.4.12之前的 Roundcube 容易通过搜索或搜索 params 进行潜在的 SQL 注入。
2021年11月20日 03:45知名组件CVE监控
有新的漏洞组件被发现啦,组件ID:RoundCube
Roundcube before 1.3.17 and 1.4.x before 1.4.12 is prone to XSS in handling an attachment's filename extension when displaying a MIME type warning message.

1.3.17和1.4.12之前的 Roundcube 在处理附件的文件扩展名时,在显示 MIME 类型警告消息时,易于使用 XSS。
2021年11月20日 03:44知名组件CVE监控
有新的漏洞组件被发现啦,组件ID:Kibana
有新的漏洞组件被发现啦,组件ID:Jira
It was discovered that Kibana&#8217;s JIRA connector & IBM Resilient connector could be used to return HTTP response data on internal hosts, which may be intentionally hidden from public view. Using this vulnerability, a malicious user with the ability to create connectors, could utilize these connectors to view limited HTTP response data on hosts accessible to the cluster.

人们发现,Kibana 的 JIRA 连接器和 IBM 弹性连接器可以用来返回内部主机上的 HTTP 响应数据,这些数据可能被故意隐藏在公共视图中。使用这个漏洞,能够创建连接器的恶意用户可以利用这些连接器查看集群可访问的主机上有限的 HTTP 响应数据。
2021年11月20日 03:44知名组件CVE监控
有新的漏洞组件被发现啦,组件ID:Kibana
It was discovered that on Windows operating systems specifically, Kibana was not validating a user supplied path, which would load .pbf files. Because of this, a malicious user could arbitrarily traverse the Kibana host to load internal files ending in the .pbf extension. Thanks to Dominic Couture for finding this vulnerability.

发现在 Windows 操作系统上,Kibana 没有验证用户提供的路径,而用户提供的路径将被加载。Pbf 文件。因此,恶意用户可以随意穿越 Kibana 主机来加载以。前额血流延长。感谢 Dominic Couture 找到了这个弱点。
2021年11月19日 07:46知名组件CVE监控
有新的漏洞组件被发现啦,组件ID:Apache
Improper output neutralization for Logs. A specific Apache Superset HTTP endpoint allowed for an authenticated user to forge log entries or inject malicious content into logs.

对日志输出中和不正确。一个特定的 Apache 超集 HTTP 端点允许经过身份验证的用户伪造日志条目或将恶意内容注入日志。
2021年11月18日 11:46知名组件CVE监控
有新的漏洞组件被发现啦,组件ID:Adobe Experience Manager
Adobe Experience Manager version 6.5.9.0 (and earlier) are affected by an improper access control vulnerability that leads to a security feature bypass. By manipulating referer headers, an unauthenticated attacker could gain access to arbitrary pages that they are not authorized to access.

Adobe 体验管理器版本6.5.9.0(以及更早版本)受到一个不正确的访问控制漏洞的影响,这个漏洞导致了安全特性的绕过。通过操作 referer 头部,未经身份验证的攻击者可以访问他们未经授权访问的任意页面。
2021年11月18日 11:45知名组件CVE监控
有新的漏洞组件被发现啦,组件ID:Apache
A flaw was found in Apache ShenYu Admin. The incorrect use of JWT in ShenyuAdminBootstrap allows an attacker to bypass authentication. This issue affected Apache ShenYu 2.3.0 and 2.4.0

在 Apache ShenYu Admin 中发现了一个漏洞。在 ShenyuAdminBootstrap 中错误地使用 JWT 允许攻击者绕过身份验证。这个问题影响了 Apache ShenYu 2.3.0和2.4.0
2021年11月18日 11:44知名组件CVE监控
有新的漏洞组件被发现啦,组件ID:Ruijie
Ruijie RG-UAC 6000-E50 commit 9071227 was discovered to contain a cross-site scripting (XSS) vulnerability via the rule_name parameter. This vulnerability allows attackers to execute arbitrary web scripts or HTML via a crafted payload.

Ruijie RG-UAC 6000-E50 commit 9071227被发现通过 rule _ name 参数包含一个跨网站脚本漏洞(XSS)。该漏洞允许攻击者通过精心设计的有效负载执行任意的 web 脚本或 HTML。
2021年11月18日 11:44知名组件CVE监控
有新的漏洞组件被发现啦,组件ID:Ruijie
Ruijie RG-UAC commit 9071227 was discovered to contain a vulnerability in the component /current_action.php?action=reboot, which allows attackers to cause a denial of service (DoS) via unspecified vectors.

Ruijie RG-UAC commit 9071227被发现在 component/current _ action.php?Action = reboot,它允许攻击者通过未指定的向量引发分布式拒绝服务攻击攻击。
2021年11月14日 07:45知名组件CVE监控
有新的漏洞组件被发现啦,组件ID:Django
django-helpdesk is vulnerable to Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting')

Django-helpdesk 在网页生成过程中容易受到不当中和输入的影响(“跨网站脚本”)
2021年11月14日 07:43知名组件CVE监控
有新的漏洞组件被发现啦,组件ID:Jenkins
Jenkins Performance Plugin 3.20 and earlier does not configure its XML parser to prevent XML external entity (XXE) attacks.

Jenkins Performance Plugin 3.20和更早版本没有配置 XML 解析器以防止 XML 外部实体(XXE)攻击。
2021年11月14日 07:43知名组件CVE监控
有新的漏洞组件被发现啦,组件ID:Jenkins
Jenkins Scriptler Plugin 3.3 and earlier does not escape the name of scripts on the UI when asking to confirm their deletion, resulting in a stored cross-site scripting (XSS) vulnerability exploitable by exploitable by attackers able to create Scriptler scripts.

Jenkins Scriptler Plugin 3.3和更早版本在请求确认删除脚本时,没有回避 UI 上脚本的名称,导致存储的跨网站脚本/脚本漏洞被攻击者利用,攻击者可以创建 Scriptler 脚本。
2021年11月14日 07:43知名组件CVE监控
有新的漏洞组件被发现啦,组件ID:Jenkins
Jenkins Active Choices Plugin 2.5.6 and earlier does not escape the parameter name of reactive parameters and dynamic reference parameters, resulting in a stored cross-site scripting (XSS) vulnerability exploitable by attackers with Job/Configure permission.

Jenkins Active Choices Plugin 2.5.6及更早版本没有逃脱 reactive 参数和动态引用参数的参数名称,导致存储的跨网站脚本/配置漏洞被具有 Job/Configure 权限的攻击者利用。
2021年11月13日 11:44知名组件CVE监控
有新的漏洞组件被发现啦,组件ID:Apache
An unauthenticated Apache Traffic Control Traffic Ops user can send a request with a specially-crafted username to the POST /login endpoint of any API version to inject unsanitized content into the LDAP filter.

未经身份验证的 Apache Traffic Control Ops 用户可以向任何 API 版本的 POST/login 端点发送一个带有特殊用户名的请求,将未经过净化的内容注入到 LDAP 过滤器中。
2021年11月13日 11:43知名组件CVE监控
有新的漏洞组件被发现啦,组件ID:Apache
Deserialization of Untrusted Data vulnerability of Apache ShardingSphere-UI allows an attacker to inject outer link resources. This issue affects Apache ShardingSphere-UI Apache ShardingSphere-UI version 4.1.1 and later versions; Apache ShardingSphere-UI versions prior to 5.0.0.

Apache ShardingSphere-UI 不可信数据漏洞的反序列化允许攻击者注入外部链接资源。这个问题影响到 Apache ShardingSphere-UI Apache ShardingSphere-UI version 4.1.1和更高版本; 5.0.0之前的 Apache ShardingSphere-UI 版本。
2021年11月11日 19:47知名组件CVE监控
有新的漏洞组件被发现啦,组件ID:SAP NetWeaver
A certain template role in SAP NetWeaver Application Server for ABAP and ABAP Platform - versions 700, 701, 702, 710, 711, 730, 731, 740, 750, 751, 752, 753, 754, 755, 756, contains transport authorizations, which exceed expected display only permissions.

在 ABAP 和 ABAP 平台 SAP Web应用服务器中的某个模板角色包含传输授权,这些授权超过了预期的显示权限。
2021年11月11日 19:43知名组件CVE监控
有新的漏洞组件被发现啦,组件ID:泛微