SecEvery - Vulnerability Warning
2024-06-25
该漏洞是一个严重的认证绕过缺陷,它使得攻击者能够在没有任何有效凭证的情况下,通过特定的技术手段,如操纵 SSH 密钥认证过程,来冒充服务器上的任何用户。这个漏洞不仅违反了 SFTP 协议的安全预期,还可能允许攻击者访问、修改或删除原本受到保护的敏感文件,对企业的数据安全构成重大威胁。此外,攻击者还可以利用该漏洞来验证系统中的用户名有效性,进一步扩大潜在的损害范围。
2024-06-13
Magento是一套专业开源的PHP电子商务系统。Magento设计得非常灵活,具有模块化架构体系和丰富的功能。易于与第三方应用系统无缝集成。2024年6月,Adobe官方披露CVE\-2024\-34102 Magento estimate\-shipping\-methods XXE漏洞,攻击者可在无需登陆的情况下构造恶意请求利用XXE读取文件,或者结合CVE\-2024\-2961 可能造成远程代码执行。