Next.js Middleware 鉴权绕过漏洞

漏洞描述 Next.js 是一个用于构建全栈 Web 应用程序的 React 框架。 在受影响版本中，如果应用使用 Next.js middleware 进行鉴权，由于 Next.js 使用 x-middleware-subrequest HTTP 请求头用于内部重定向流程标识，当内部 5 次重定向之后则跳过鉴权流程。同时...

Apache Solr Windows 下路径遍历漏洞

漏洞描述 Apache Solr 是基于 Apache Lucene 构建的开源搜索平台。 受影响版本的 Apache Solr 的 configset upload api 未对输入数据做校验，攻击者可以构造恶意的 zip 文件来写入任意路径，导致在 Windows 中存在任意文件写入漏洞。 修复版本通过在 org.apac...

CUPS 远程命令执行漏洞

漏洞描述 CUPS 是一个默认集成于诸多 Linux 发行版的开源打印系统，而 cups-browsed 包含网络打印功能，包括但不限于自动发现打印服务和共享打印机。 cups-browsed 默认监听 631 端口，由于受影响版本的 cups-browsed 未对数据包做校验，导致未授权攻击者可...

macOS最好用的开源剪贴板管理器“Maccy”发布2.0——7年来最大更新、完全重写、大幅优化性能

Maccy 是一款用于 Mac 平台的剪贴板管理器，具有现代化 UI 和极其轻量的体积其安装包大小仅为 2.2MB。 之所以能做到如此轻量离不开它的极简功能。 正如开发者所描述， Maccy 是一个剪贴板管理器，只专注做一件事，那就是 让用户随手保存复制历史 ，仅此而已...

Spring Framework 路径遍历漏洞

漏洞描述 Spring Framework 是一个广泛使用的开源 Java 企业级应用框架。 受影响版本中当应用程序使用 RouterFunctions 来处理静态资源且资源处理通过 FileSystemResource 进行配置时，攻击者可以通过构造恶意 HTTP 请求，利用路径遍历漏洞获取文件系统中的任...

什么是AES加密算法

AES加密算法（Advanced Encryption Standard，高级加密标准）是一种对称加密算法，由美国国家标准与技术研究院（NIST）于2001年发布，用于替代早期的数据加密标准（DES）。AES算法使用的密钥长度可以是128位、192位或256位，其中128位密钥长度最为常用。 AES...

linux溢出漏洞如何修复

修复 Linux 操作系统中的溢出漏洞通常涉及以下步骤： 更新操作系统：确保操作系统的补丁和更新程序已经安装。Linux 发行版通常提供自动更新机制，可以使用操作系统自带的包管理器或者更新工具来更新操作系统。 更新软件和应用程序：及时更新软件和应用程序，...

Apache DolphinScheduler<3.2.2 远程代码执行漏洞

漏洞描述 Apache Dolphinscheduler 是开源的分布式任务调度系统。 受影响版本中，由于 HttpTaskDefinitionParser 类未对用户可控的 yaml 文件有效过滤，当解析攻击者构造的恶意配置文件 (如执行 Kubernetes Job) 时会造成 SnakeYaml 反序列化漏洞，攻击者可利...

腾讯开源高性能日志系统 BqLog

腾讯宣布开源 BqLog，一个源于《Honor Of Kings》（王者荣耀国际服）的，轻量级、跨平台、高性能的日志组件。由 C++ 实现，同时支持 Java，C# 的调用。可以用于 Unreal、Unity 等游戏引擎，也能用于 Android、IOS 环境下的 App。在 Windows、Mac、Linux 等的...

苹果为 Swift 发布同态加密工具库

苹果公司发布了新的开源 Swift 工具库，以便开发者使用 Swift 实现同态加密 (swift-homomorphic-encryption)，此举标志着苹果在数据隐私保护方面迈出了重要一步。 开发文档：https://developer.apple.com/documentation/sms_and_call_reporting/getting_up-to...