SecEvery - Vulnerability Warning
2025-04-25
Dify是一款开源的大语言模型(LLM)应用开发平台,其旧版本/forgot\-password/resets接口存在任意用户密码重置漏洞,未经授权的远程攻击者可以重置已获取邮箱地址的用户的密码,包括管理员账号,可能导致Dify被攻击者完全控制。
2025-04-25
逻辑漏洞是指应用程序中存在的安全缺陷,它允许未经授权的用户通过非正常途径访问或操作系统资源,导致敏感信息泄露、数据篡改、服务中断等安全问题。这类漏洞通常是由于程序设计不当、权限控制不严、输入验证不足或业务逻辑错误引起的。
2025-04-25
GNOME Epiphany是GNOME开源的一个简洁、干净、美观的网页视图。 GNOME Epiphany存在安全漏洞,该漏洞源于设计缺陷,可能导致通过受信任UI行为在客户端设备上执行代码。
2025-04-24
Redis是一个开源的内存数据结构存储系统,广泛应用于缓存、消息队列、实时分析等场景。它支持多种数据结构,如字符串、哈希、列表、集合、有序集合等,并提供丰富的操作命令。Redis具有高性能、灵活性和持久化能力,数据可以保存在内存中,定期或根据需求同步到磁盘。它支持主从复制、分区和高可用性配置,常用于提高系统响应速度和可扩展性。由于其高效的读取和写入性能,Redis成为现代分布式系统中不可或缺的组件之一。2025年4月24日,启明星辰集团VSRC监测到Redis官方发布的安全公告,在7.4.3 \> Redis \>\= 2.6版本中,未认证的客户端可以导致输出缓冲区无限增长,直到服务器内存耗尽或进程被终止。默认配置下,Redis不限制普通客户端的输出缓冲区,允许其无限增长,导致服务崩溃或内存不可用。即使启用了密码认证,但未提供密码,客户端仍可通过"NOAUTH"响应导致缓冲区增长,最终耗尽系统内存。
2025-04-24
文件读取漏洞是指攻击者通过某种方式获取对系统文件的读取权限,从而访问敏感信息,如配置文件、源代码、用户数据等。这种漏洞通常是由于应用程序未正确实施权限控制或者未对用户输入进行充分过滤和验证导致的。