VMware Aria Operations for Logs v8.10.2 存在反序列化漏洞

漏洞描述 VMware Aria Operations for Logs 前身是 vRealize Log Insight，VMware 用于处理和管理大规模的日志数据产品。 VMware Aria Operations for Logs 8.10.2 版本中存在反序列化漏洞，具有 VMware Aria Operations for Logs 网络访问权限的未经身份验...

GitLab 存在密码泄露漏洞

漏洞描述 GitLab 是一个基于 Git 的代码托管和协作平台。 GitLab EE/CE 从 11.5 到 15.8.5、从 15.9 到 15.9.4，以及从 15.10 到 15.10.1 版本中存在信息泄露漏洞，具有管理员权限的攻击者可以利用该漏洞获取仓库 (repository) 镜像配置中的密码。 漏洞名称...

Apache mod_auth_openidc 模块存在拒绝服务漏洞

漏洞描述 mod_auth_openidc 是 Apache 2.x HTTP 服务器的身份验证和授权模块，实现了 OpenID Connect Relying Party 单点登录功能，OIDCStripCookies 用于从 OpenID Connect 授权令牌中移除指定的 Cookie。 mod_auth_openidc 受影响版本中由于 mod_auth_open...

Redis Msetnx 命令可造成拒绝服务

漏洞描述 Redis 是一个开源的、可基于内存、分布式、可选持久性的键值对 (Key-Value) 存储数据库，Redis Msetnx 命令用于当给定 key 不存在时同时设置一个或多个 key-value 对。 受影响版本中当 MSETNX 命令中两次使用相同的键将触发断言，通过 Redis 身份认...

Twitter 源代码泄露

根据《纽约时报》的报道，一份法律文件显示，Twitter 称其部分源代码在网上被泄露，该公司已于上周五采取行动，它通过向托管代码的 GitHub 发送版权侵权通知，删除了被泄露的代码。 文件显示 Twitter 还要求美国加利福尼亚州北区地方法院 命令 GitHub 识别共...

Grafana 任意文件读取漏洞（CVE-2021-43798）

2021年12月7日，阿里云应急响应中心监测到 CVE-2021-43798Grafana plugin 任意文件读取漏洞。 漏洞描述 Grafana是一个跨平台、开源的数据可视化网络应用程序平台。用户配置连接的数据源之后，Grafana可以在网络浏览器里显示数据图表和警告。2021年12月6日，...

漏洞复现！Grafana信息泄露漏洞（CVE-2021-39226）

0x01 漏洞描述 Grafana 是 Grafana 实验室的一套提供可视化监控界面的开源监控工具。该工具主要用于监控和分析 Graphite、InfluxDB 和 Prometheus 等。 Grafana 存在授权问题漏洞，该漏洞源于在受影响的版本中，未经身份验证和身份验证的用户都可以通过访问...

CeresDB 1.0 正式发布，Rust 高性能云原生时序数据库

CeresDB 是一款高性能、分布式的云原生时序数据库，采用 Rust 编写。其开发团队近日宣布：经过近一年的开源研发工作，时序数据库 CeresDB 1.0 正式发布，达到生产可用标准。 CeresDB 1.0 官方中文文档：https://docs.ceresdb.io/cn/ CeresDB 1.0 核心特性介绍...

Jenkins plugin manager 存在存储型 XSS 漏洞

漏洞描述 Jenkins 是一款 Java 编写的集成工具。 该项目受影响版本存在存储型 XSS 漏洞。该漏洞是由于在呈现插件版本与 Jenkins plugin manager 版本不兼容的错误信息时没有进行转义。 攻击者可向 Jenkins 实例中配置的更新站点提供插件，当 Jenkins 实例加...

GitLab 存在拒绝服务漏洞

漏洞描述 GitLab 是由 GitLab 公司开发的、基于 Git 的集成软件开发平台。 在受影响版本内，攻击者可以将精心制作的 CI job 组件打成 zip 文件上传到子项目中，导致 sidekiq 「异步执行」job 分配大量内存，从而导致拒绝服务。 漏洞名称 GitLab 存在拒绝服务...