赛克艾威-漏洞预警

SecEvery - Vulnerability Warning

Versa Director Dangerous File Type Upload Vulnerability

北京赛克艾威科技有限公司

2024-08-23

The Versa Director GUI contains an unrestricted upload of file with dangerous type vulnerability that allows administrators with Provider\-Data\-Center\-Admin or Provider\-Data\-Center\-System\-Admin privileges to customize the user interface. The “Change Favicon” \(Favorite Icon\) enables the upload of a .png file, which can be exploited to upload a malicious file with a .png extension disguised as an image.

Atlassian Bamboo 远程代码执行漏洞(CVE-2024-21689)

北京赛克艾威科技有限公司

2024-08-20

Atlassian Bamboo 是持续集成和部署工具,可以将自动化构建、测试和发布整合在单个工作流中。CVE\-2024\-21689 中,攻击者可在登录后构造恶意请求造成远程代码执行,控制服务器。漏洞在 9.1.0、9.2.0、9.3.0、9.4.0、9.5.0、9.6.0版本中引入。由于 9.2.x 为长期支持版本,官方针对其发布9.2.17安全修复版本,其他受影响版本建议升级至最新版本。

山石网科WAF 命令注入漏洞(QVD-2024-37670)

北京赛克艾威科技有限公司

2024-08-22

山石网科 Web 应用防火墙(WAF)是专业智能的Web 应用安全防护产品,在Web资产发现、漏洞评估、流量学习、威胁定位等方面全面应用智能分析和语义分析技术,帮助用户轻松应对应用层风险,确保网站全天候的安全运营。 在WAF的验证码页面,存在命令注入漏洞,恶意攻击者可通过构造恶意请求,拼接命令执行任意代码,控制服务器。

Google Chrome<128.0.6613.84 V8存在类型混淆漏洞

北京赛克艾威科技有限公司

2024-08-22

Google Chrome 是谷歌公司开发的浏览器,V8 是开源 JavaScript 引擎。 受影响版本中,由于 liftoff\-assembler.cc 文件的 PrepareLoopArgs 方法存在类型混淆漏洞,攻击者可诱导用户访问恶意网页窃取浏览器敏感信息或远程恶意代码,谷歌已发现该漏洞被在野利用。 补丁通过引入 SpillLoopArgs 函数避免在循环内部溢出后重新将值加载到寄存器中修复此漏洞。

万户ezOFFICE receivefile_gd.jsp SQL注入漏洞

北京赛克艾威科技有限公司

2024-08-22

暂无