Linux Kernel权限提升漏洞CVE-2023-0386

近日，赛克艾威安全团队监测到Linux Kernel权限提升漏洞，漏洞编号为CVE-2023-0386。在Linux Kernel OverlayFS子系统中，当用户将一个具有权限的文件从nosuid挂载点复制到另一个挂载点时，未经授权的攻击者可以执行 setuid文件，导致权限提升。

GitLab代码执行漏洞CVE-2023-2478

近日，赛克艾威安全团队监测到GitLab代码执行漏洞，漏洞编号为CVE-2023-2478。经过身份认证的攻击者利用此漏洞可以使用GraphQL端点将恶意Runner附加到实例上的任何项目上，进一步利用可能造成代码执行或敏感信息泄露。

GitLab 目录遍历漏洞CVE-2023-2825

GitLab是一个用于仓库管理系统的开源项目，其使用Git作为代码管理工具，可通过Web界面访问公开或私人项目。

Apache Superset身份认证绕过漏洞CVE-2023-27524

近日，赛克艾威安全团队监测到Apache Superset 身份认证绕过漏洞，漏洞编号为CVE-2023-27524。由于Apache Superset存在默认的SECRET_KEY，未经授权的攻击者可伪造管理员身份访问敏感资源。

泛微 Ecology OA 未授权SQL注入漏洞

近日，泛微官方发布了e-cology v10.57补丁包，修复了一处 SQL 注入漏洞。未经授权的远程攻击者可通过发送特殊的HTTP请求来利用此漏洞，最终可导致攻击者获取数据库敏感信息。