SecEvery - Vulnerability Warning
2024-09-03
Draytek VigorConnect contains a path traversal vulnerability in the DownloadFileServlet endpoint. An unauthenticated attacker could leverage this vulnerability to download arbitrary files from the underlying operating system with root privileges.
2024-07-14
南京星宇图科技SparkShop在版本1.1.6中发现了一个严重漏洞。该漏洞影响文件/api/Common/uploadFile的某些未知处理过程。由于参数文件操作不当,导致上传不受限制。攻击可能远程发起。该漏洞已被公开披露并可被利用。该漏洞的关联标识符为VDB\-271403。
2024-06-19
Spring Cloud Data Flow(SCDF)是一个基于微服务的工具包,用于在 Cloud Foundry 和 Kubernetes 中构建流式和批量数据处理管道。在受影响版本中,Skipper Server在接收上传请求时对zip文件中的路径校验不严,具有 Skipper Server API 访问权限的攻击者可以通过上传请求将任意文件写入文件系统中的任意位置,从而获得服务器权限。