SecEvery - Vulnerability Warning
2024-09-16
Microsoft Windows MSHTML Platform contains a user interface \(UI\) misrepresentation of critical information vulnerability that allows an attacker to spoof a web page. This vulnerability was exploited in conjunction with CVE\-2024\-38112.
2024-09-10
在Ivanti EPM的代理门户中,存在一个反序列化未受信任数据的安全漏洞。该漏洞允许远程未经身份验证的攻击者执行远程代码。具体来说,Ivanti EPM在2022年的Service Update 6(2022 SU6)之前的版本,以及2024年9月安全更新之前的版本都受到了这个漏洞的影响。
2024-09-03
该漏洞是由于Apache OFBiz在从 Groovy 加载文件时对 URL 的验证不足,导致远程攻击者可以通过服务器端请求伪造的方式向任意系统发起请求,并可能导致远程代码执行。
2024-09-13
Ivanti Cloud Services Appliance \(CSA\) contains an OS command injection vulnerability in the administrative console which can allow an authenticated attacker with application admin privileges to pass commands to the underlying OS.
2024-09-13
Spring框架是 Java 平台的一个开源的全栈应用程序框架和控制反转容器实现。2024年9月,Spring官方发布公告披露 CVE\-2024\-38816 Spring Framework 特定条件下目录遍历漏洞。当同时满足使用 RouterFunctions 和 FileSystemResource 来处理和提供静态文件 时,攻击者可构造恶意请求遍历读取系统上的文件。