SecEvery - Vulnerability Warning
2025-07-09
Git是一个分布式版本控制系统,用于跟踪文件变化并协作开发软件。由Linus Torvalds于2005年创建,Git允许多个开发者并行工作,管理源代码历史记录。它支持本地操作,用户无需连接到中央服务器即可进行版本控制。Git的核心特点包括高效的分支管理、合并功能、以及支持大规模项目的能力。通过命令行和图形界面工具(如GitHub Desktop)可以与Git仓库进行交互,广泛应用于开源和私有软件项目中。2025年7月8日,启明星辰集团VSRC监测到Git中的一个远程代码执行漏洞,影响类Unix平台。该漏洞源于Git配置文件对回车符(CR)的处理不当。在使用git clone \-\-recursive命令时,Git会从.gitmodules文件读取子模块路径并检出相应的子模块。然而,若子模块路径包含尾部回车符(^M),Git会错误地处理该路径,导致回车符丢失并将路径写入.git/modules/foo/config中,进而使子模块被检出到错误路径。若存在符号链接指向错误路径,并且子模块包含可执行的post\-checkout钩子脚本,该脚本可能在检出时意外执行,从而导致远程代码执行(RCE...
2025-07-16
Oracle WebLogic Server是Oracle公司推出的一款企业级应用服务器,主要用于构建、部署和运行Java EE(企业级Java应用程序)。它支持Web服务、分布式系统、事务管理、持久性、消息传递等功能,广泛应用于企业级应用和云计算环境。作为一个中间件平台,WebLogic提供高可用性、可伸缩性和安全性,适用于构建大规模、容错的企业应用。2025年7月16日,启明星辰集团VSRC监测到Oracle WebLogic Server产品中的一个未授权访问漏洞。该漏洞允许攻击者无需身份验证,仅通过T3或IIOP协议进行网络访问,便可攻击Oracle WebLogic Server。成功利用此漏洞后,攻击者能够未经授权访问WebLogic Server中所有可访问的关键数据。漏洞评分7.5分,漏洞级别高危。
2025-07-16
Oracle数据库是全球广泛使用的关系型数据库管理系统(RDBMS),由甲骨文公司(Oracle Corporation)开发。它支持多种操作系统平台,提供高性能、可扩展性和可靠性。Oracle数据库用于存储、管理和操作大量数据,广泛应用于企业级应用、数据仓库、在线事务处理(OLTP)系统等场景。其核心特性包括支持SQL、ACID事务、数据分区、备份恢复、以及强大的安全控制机制。Oracle数据库还支持高可用性和分布式数据库管理。2025年7月16日,启明星辰集团VSRC监测到Oracle数据库服务器组件存在远程接管漏洞。该漏洞可被低权限攻击者利用,攻击者只需具备Create Session和Create Procedure权限,并通过Oracle Net获取网络访问权限即可发起攻击。一旦成功利用,该漏洞可能导致攻击者完全接管Oracle数据库。漏洞评分8.8分,漏洞级别高危。
2025-07-17
Google Chrome 是由谷歌开发的跨平台网页浏览器,以其速度、安全性和简洁的界面而闻名。它基于开源的Chromium项目,支持现代网页标准,具有强大的扩展性。Chrome的沙箱技术可以限制网页中的恶意代码,增强浏览器的安全性。它还提供了同步功能,允许用户在多个设备间同步书签、历史记录等数据。此外,Chrome定期更新,修复已知漏洞并增强功能,是全球使用最广泛的浏览器之一。2025年7月17日,启明星辰集团VSRC监测到Google Chrome存在沙箱逃逸漏洞。涉及ANGLE和GPU组件的不可信输入验证不足。该漏洞允许远程攻击者通过构造恶意HTML页面,绕过浏览器的沙箱机制,可能对底层系统进行恶意操作。ANGLE(几乎本地图形层引擎)作为Chrome渲染引擎与设备特定图形驱动之间的翻译层,漏洞利用可使攻击者通过滥用低级GPU操作实现沙箱逃逸,获取更深层次的系统访问权限。此漏洞已在实际攻击中被利用,可能引发目标攻击,攻击者仅需访问恶意网站即可潜在突破浏览器安全限制。
2025-07-23
Google Chrome 是由谷歌开发的跨平台网页浏览器,以其速度、安全性和简洁的界面而闻名。它基于开源的Chromium项目,支持现代网页标准,具有强大的扩展性。Chrome的沙箱技术可以限制网页中的恶意代码,增强浏览器的安全性。它还提供了同步功能,允许用户在多个设备间同步书签、历史记录等数据。此外,Chrome定期更新,修复已知漏洞并增强功能,是全球使用最广泛的浏览器之一。2025年7月23日,启明星辰集团VSRC监测到Google Chrome中存在两个高危漏洞:Google Chrome V8 类型混淆漏洞(CVE\-2025\-8010)和(CVE\-2025\-8011)。该类漏洞源于V8引擎在运行时对对象类型判断不严,攻击者可通过构造特定输入,诱使程序将对象误识别为错误类型,从而实现内存越界访问或任意代码执行。在浏览器环境下,攻击者可利用该漏洞诱导用户访问恶意网页,触发恶意JavaScript代码,进而可能绕过浏览器沙箱限制,实现数据窃取、权限提升或对系统的进一步控制,漏洞等级高危。