• Apache mod_auth_openidc 模块存在拒绝服务漏洞

    日期:

    漏洞描述 mod_auth_openidc 是 Apache 2.x HTTP 服务器的身份验证和授权模块,实现了 OpenID Connect Relying Party 单点登录功能,OIDCStripCookies 用于从 OpenID Connect 授权令牌中移除指定的 Cookie。 mod_auth_openidc 受影响版本中由于 mod_auth_open...

  • Redis Msetnx 命令可造成拒绝服务

    日期:

    漏洞描述 Redis 是一个开源的、可基于内存、分布式、可选持久性的键值对 (Key-Value) 存储数据库,Redis Msetnx 命令用于当给定 key 不存在时同时设置一个或多个 key-value 对。 受影响版本中当 MSETNX 命令中两次使用相同的键将触发断言,通过 Redis 身份认...

  • Twitter 源代码泄露

    日期:

    根据《纽约时报》的报道,一份法律文件显示,Twitter 称其部分源代码在网上被泄露,该公司已于上周五采取行动,它通过向托管代码的 GitHub 发送版权侵权通知,删除了被泄露的代码。 文件显示 Twitter 还要求美国加利福尼亚州北区地方法院 命令 GitHub 识别共...

  • Grafana 任意文件读取漏洞(CVE-2021-43798)

    日期:

    2021年12月7日,阿里云应急响应中心监测到 CVE-2021-43798Grafana plugin 任意文件读取漏洞。 漏洞描述 Grafana是一个跨平台、开源的数据可视化网络应用程序平台。用户配置连接的数据源之后,Grafana可以在网络浏览器里显示数据图表和警告。2021年12月6日,...

  • 漏洞复现!Grafana信息泄露漏洞(CVE-2021-39226)

    日期:

    0x01 漏洞描述 Grafana 是 Grafana 实验室的一套提供可视化监控界面的开源监控工具。该工具主要用于监控和分析 Graphite、InfluxDB 和 Prometheus 等。 Grafana 存在授权问题漏洞,该漏洞源于在受影响的版本中,未经身份验证和身份验证的用户都可以通过访问...

  • CeresDB 1.0 正式发布,Rust 高性能云原生时序数据库

    日期:

    CeresDB 是一款高性能、分布式的云原生时序数据库,采用 Rust 编写。其开发团队近日宣布:经过近一年的开源研发工作,时序数据库 CeresDB 1.0 正式发布,达到生产可用标准。 CeresDB 1.0 官方中文文档:https://docs.ceresdb.io/cn/ CeresDB 1.0 核心特性介绍...

  • Jenkins plugin manager 存在存储型 XSS 漏洞

    日期:

    漏洞描述 Jenkins 是一款 Java 编写的集成工具。 该项目受影响版本存在存储型 XSS 漏洞。该漏洞是由于在呈现插件版本与 Jenkins plugin manager 版本不兼容的错误信息时没有进行转义。 攻击者可向 Jenkins 实例中配置的更新站点提供插件,当 Jenkins 实例加...

  • GitLab 存在拒绝服务漏洞

    日期:

    漏洞描述 GitLab 是由 GitLab 公司开发的、基于 Git 的集成软件开发平台。 在受影响版本内,攻击者可以将精心制作的 CI job 组件打成 zip 文件上传到子项目中,导致 sidekiq 「异步执行」job 分配大量内存,从而导致拒绝服务。 漏洞名称 GitLab 存在拒绝服务...

  • GitLab 存在开放重定向漏洞

    日期:

    漏洞描述 GitLab 是由 GitLab 公司开发的、基于 Git 的集成软件开发平台。 GitLab 的受影响版本中存在的开放重定向漏洞,攻击者可利用此漏洞诱导用户点击可信的 url 将用户重定向到恶意网址,进而窃取用户凭据或其它敏感信息。 漏洞名称 GitLab 存在开放重定...

  • Grafana 敏感信息泄露漏洞

    日期:

    漏洞描述 Grafana 是一个跨平台、开源的数据可视化网络应用平台。 Grafana 的受影响版本中存在敏感信息泄露漏洞,原因是在登录页面使用忘记密码时,平台会向 /api/user/password/sent-reset-email 发送一个 Post 请求,如果用户名或电子邮件不存在时,JSON...