SecEvery - Vulnerability Warning
2025-03-25
远程代码执行漏洞是指攻击者通过某些漏洞在服务器上执行任意代码,这通常是由于应用程序对外部输入的验证不足或处理不当造成的。攻击者可以利用这个漏洞上传恶意代码或直接通过HTTP请求发送恶意代码,从而控制服务器,进行包括数据窃取、网站篡改、服务器资源滥用等在内的多种恶意行为。
2025-03-24
2025年3月,Kubernetes 官方披露 CVE\-2025\-24514 ingress\-nginx controller auth\-url 配置注入漏洞。具有Ingress资源写权限的攻击者可以通过Nginx Ingress社区提供的auth\-url Annotation向Nginx注入配置,从而在ingress\-nginx controller上下文中执行任意代码,并进一步获取整个集群维度的Secrets。
2025-03-24
Ingress\-nginx是Kubernetes集群内服务对外暴露的访问接入点,用于承载集群内服务访问流量。其小于1.12.1的旧版本中,mirror\-target 和 mirror\-host配置项存在一个配置注入漏洞,已获得Ingress\-nginx访问权限的远程攻击者,可以向Ingress\-nginx提交配置,实现在Ingress\-nginx所在容器执行任意代码,导致该容器被攻击者控制,并可能导致集群内的Secrets泄漏。
2025-03-24
2025年3月,Kubernetes 官方披露 CVE\-2025\-24513 Kubernetes ingress\-nginx auth secret file 目录遍历漏洞(CVE\-2025\-24513)。Nginx Ingress Controller不对Ingress资源写权限持有者提交的输入数据进行充分验证与过滤。攻击者可利用此漏洞构造恶意请求,将非法数据注入配置文件的生成路径中,从而触发容器内的目录遍历漏洞。该漏洞可能导致拒绝服务,或者与其他漏洞结合使用,导致集群内有限Secrets实例的泄露。
2025-03-24
Next.js 是由 Vercel 开发的基于 React 的现代 Web 应用框架,具备前后端一体的开发能力,广泛用于开发 Server\-side Rendering \(SSR\) 和静态站点生成(SSG)项目。Next.js 支持传统的 Node.js 模式和基于边缘计算(Edge Function)的运行模式,后者适用于轻量、高性能的服务逻辑。 2025 年 3 月,社区研究人员披露了 Next.js 中存在一个认证绕过漏洞(CVE\-2025\-29927)。该漏洞成因是框架中用于标记中间件递归请求的特殊请求头 \`x\-middleware\-subrequest\` 可被用户伪造,导致中间件处理链被绕过,进而影响基于中间件实现的身份认证、重定向等关键安全逻辑。由于使用该框架的应用较多,如AI应用 chatbot\-ui,建议受影响的用户根据实际情况评估风险,立即修复此漏洞。 影响版本: 11.1.4 <\= next.js <\= 13.5.6 14.0.0 <\= next.js <\= 14.2.24 15.0.0 <\= next.js <\= 15.2.2 修复版本:14.2.2...