| 1351 |
CVE-2022-38750 |
中等 |
SnakeYAML是一款基于Java的YAML解析器。SnakeYAML 存在缓冲区错误漏洞���,该漏洞源于解析不受信任的 YAML 文件可能容易受到拒绝服务攻击(DOS)。 如果解析器在用户提供的输入上运行���,攻击者通过特制内容导致解析器因堆栈溢出而崩溃。
|
服务器操作系统 |
2023-03-27 |
| 1352 |
CVE-2022-38749 |
中等 |
SnakeYAML是一款基于Java的YAML解析器。SnakeYAML 存在缓冲区错误漏洞���,该漏洞源于解析不受信任的 YAML 文件可能容易受到拒绝服务攻击(DOS)。 如果解析器在用户提供的输入上运行���,攻击者通过特制内容导致解析器因堆栈溢出而崩溃。
|
服务器操作系统 |
2023-03-27 |
| 1353 |
CVE-2022-37705 |
中等 |
Amanda是University of Maryland at College Park组织的一种自动网络磁盘存档器。允许 IT 管理员设置单个主备份服务器���,以通过网络将多个主机备份到磁带驱动器/转换器或磁盘或光学介质。
Amanda 存在安全漏洞���,该漏洞源于为runtar SUID二进制文件精心设计的参数会导致本地权限升级到root。
|
服务器操作系统 |
2023-03-27 |
| 1354 |
CVE-2022-37704 |
中等 |
Amanda是University of Maryland at College Park组织的一种自动网络磁盘存档器。允许 IT 管理员设置单个主备份服务器���,以通过网络将多个主机备份到磁带驱动器/转换器或磁盘或光学介质。
amanda存在安全漏洞���,该漏洞源于在rundump存在本地权限提升。
|
服务器操作系统 |
2023-03-27 |
| 1355 |
CVE-2022-25857 |
重要 |
SnakeYAML是一款基于Java的YAML解析器。SnakeYAML 1.31及之前版本存在安全漏洞���,该漏洞源于缺少对集合的嵌套深度限制���,存在拒绝服务(DoS)问题。
|
服务器操作系统 |
2023-03-27 |
| 1356 |
CVE-2023-23916 |
中等 |
curl支持链式HTTP压缩算法���,这意味着服务器响应可以多次压缩���,并且可能使用不同的算法。这个解压缩链中可接受的链接数量是有上限的���,但是上限是在每个头的基础上实现的���,这使得恶意服务器只需使用许多头就可以插入几乎无限数量的压缩步骤。使用这样的解压缩链可能会导致malloc炸弹���,使curl最终花费大量分配的堆内存���,或者尝试并返回内存外错误。
|
服务器操作系统 |
2023-03-24 |
| 1357 |
CVE-2023-26464 |
重要 |
当在低于 1.7 的 JRE 上使用带有 Log4j 1.x 的 Chainsaw 或 SocketAppender 组件时���,攻击者设法导致涉及特制(即深度嵌套)哈希图或哈希表(取决于正在使用日志记录组件)进行处理可能会耗尽虚拟机中的可用内存���,并在反序列化对象时实现拒绝服务。此问题影响 Apache Log4j 2 之前版本。建议受影响的用户更新至 Log4j 2.x。注意:此漏洞仅影响维护者不再支持的产品。
|
服务器操作系统 |
2023-03-24 |
| 1358 |
CVE-2023-26053 |
中等 |
Gradle是美国Gradle公司的一套基于JVM的项目构建工具���,它支持maven���、Ivy仓库等。
Gradle存在安全漏洞���,该漏洞源于如果在依赖性验证元数据的信任元素中使用指纹以外的任何内容���,将导致依赖性验证失败。
|
服务器操作系统 |
2023-03-24 |
| 1359 |
CVE-2023-24807 |
重要 |
Undici是Node.js的HTTP/1.1客户端。当不受信任的值传递到函数时���,“Headers.set()”和“Headers.append()”方法容易受到正则表达式拒绝服务(ReDoS)攻击。这是由于用于规范化“headerValueNormalize()”实用程序函数中的值的正则表达式效率低下。
|
服务器操作系统 |
2023-03-24 |
| 1360 |
CVE-2023-24533 |
重要 |
Google Golang是美国谷歌(Google)公司的一种静态强类型���、编译型语言。Go的语法接近C语言���,但对于变量的声明有所不同。Go支持垃圾回收功能。Go的并行模型是以东尼·霍尔的通信顺序进程(CSP)为基础���,采取类似模型的其他语言包括Occam和Limbo���,但它也具有Pi运算的特征���,比如通道传输。在1.8版本中开放插件(Plugin)的支持���,这意味着现在能从Go中动态加载部分函数。
Google Golang 存在安全漏洞���,该漏洞源于使用某些方法时结果返回不正确。
|
服务器操作系统 |
2023-03-24 |
| 1361 |
CVE-2023-24532 |
中等 |
Google Golang是美国谷歌(Google)公司的一种静态强类型���、编译型语言。Go的语法接近C语言���,但对于变量的声明有所不同。Go支持垃圾回收功能。Go的并行模型是以东尼·霍尔的通信顺序进程(CSP)为基础���,采取类似模型的其他语言包括Occam和Limbo���,但它也具有Pi运算的特征���,比如通道传输。在1.8版本中开放插件(Plugin)的支持���,这意味着现在能从Go中动态加载部分函数。
Google Golang 存在安全漏洞���,该漏洞源于使用某些方法时结果返回不正确。
|
服务器操作系统 |
2023-03-24 |
| 1362 |
CVE-2023-23919 |
重要 |
nodejs在某些情况下���,该漏洞在可能设置OpenSSL错误堆栈的操作后无法清除该错误堆栈。这可能会导致在同一线程上的后续加密操作中出现误报错误。这反过来又可能被用来造成拒绝服务。
|
服务器操作系统 |
2023-03-24 |
| 1363 |
CVE-2023-20860 |
重要 |
SpringFramework存在身份认证绕过漏洞���,当SpringSecurity使用mvcRequestMatcher配置并将"**"作为匹配模式时���,在SpringSecurity和 Spring MVC 之间会发生模式不匹配���,最终可能导致身份认证绕过
|
服务器操作系统 |
2023-03-24 |
| 1364 |
CVE-2022-36397 |
重要 |
4.17版本之前的Linux的一些Intel(R) QAT驱动程序的软件安装程序中的错误默认权限可能允许已验证的用户通过本地访问潜在地启用特权升级。
|
服务器操作系统 |
2023-03-24 |
| 1365 |
CVE-2019-1756 |
重要 |
Cisco IOS XE是美国思科(Cisco)公司的一套为其网络设备开发的操作系统。Cisco IOS XE中存在输入验证漏洞���,该漏洞源于程序没有正确地过滤用户提交的输入。当Web服务器功能被启用时���,攻击者可通过提交带有恶意payload的用户名利用该漏洞以root用户身份执行任意命令。
|
服务器操作系统 |
2023-03-24 |
