SecEvery - Vulnerability Warning
2025-03-15
tj\-actions 更改了 46 之前的文件,允许远程攻击者通过读取操作日志来发现机密。(标签 v1 到 v45.0.7 在 2025\-03\-14 和 2025\-03\-15 受到影响,因为它们被威胁行为者修改为指向提交 0e58ed8,其中包含恶意 updateFeatures 代码。)
2025-03-13
弱口令漏洞指的是系统中使用了简单、容易猜测或常见的密码,导致攻击者可以通过猜测或暴力破解的方式轻易获取账户权限,进而访问或控制受影响的系统资源。这种漏洞通常由于缺乏有效的密码策略或用户对安全意识的忽视造成。
2025-03-13
文件读取漏洞是指攻击者通过某种方式获取对系统文件的读取权限,从而访问敏感信息,如配置文件、源代码、用户数据等。这种漏洞通常是由于应用程序未正确实施权限控制或者未对用户输入进行充分过滤和验证导致的。
2025-03-13
文件读取漏洞是指攻击者通过某种方式获取对系统文件的读取权限,从而访问敏感信息,如配置文件、源代码、用户数据等。这种漏洞通常是由于应用程序未正确实施权限控制或者未对用户输入进行充分过滤和验证导致的。
2025-03-11
Apache Tomcat是美国阿帕奇(Apache)基金会的一款轻量级Web应用服务器,partial PUT是其中用于文件分块上传的功能。 在受影响版本中,由于针对partial PUT的临时文件路径依赖于用户输入,通过将/替换为.的实现存在绕过风险。 当启用了默认 servlet 的写入功能(将readonly 初始化参数设置为非默认值 false),以及支持partial PUT(默认支持)时,攻击者可能利用该漏洞,向特定文件(如jsp)写入恶意代码,从而执行远程命令。