SecEvery - Vulnerability Warning
2024-12-20
远程命令执行漏洞是指攻击者通过构造特定的请求,使得服务器端执行非预期的命令,从而可能导致未授权的数据访问、权限提升、服务中断等严重后果。这种漏洞通常由于应用程序对用户输入的验证不充分或者对外部命令调用缺乏必要的安全控制而产生。
2024-12-20
SQL注入漏洞是指攻击者通过在Web应用程序的输入字段中插入恶意SQL代码,从而绕过应用程序的安全措施,直接对数据库执行非法操作。这种漏洞通常发生在应用程序未对用户输入进行充分验证和过滤的情况下,使得攻击者能够获取、修改或删除数据库中的数据,甚至可能执行服务器上的任意代码。
2024-12-20
文件写入漏洞是指攻击者通过某种方式向服务器写入恶意文件,从而可能导致服务器被控制、数据被篡改或删除、服务被中断等严重后果。这种漏洞通常是由于应用程序对用户输入的文件名、路径或内容没有进行严格的验证和过滤,或者对文件上传功能的权限控制不够严格,使得攻击者能够上传恶意脚本或修改服务器上的文件。
2024-12-19
Rspack 是基于 Rust 编写的高性能 JavaScript 打包工具。 由于Rspack 团队成员的 npm token被窃取,@rspack/core 和 @rspack/cli 1.1.7 版本被插入挖矿代码,当用户安装投毒版本时会下载并执行挖矿程序xmrig\(钱包地址:475NBZygwEajj4YP2Bdu7yg6XnaphiFjxTFPkvzg5xAjLGPSakE68nyGavn8r1BYqB44xTEyKQhueeqAyGy8RaYc73URL1j\),并窃取用户云服务凭据\( /.aliyun/config.json、/.hcloud/config.json 以及 \~/.tccli/default.credential文件\)并发送到攻击者可控的服务器地址。
2024-12-19
Vant 是由有赞团队开源的基于 Vue.js 的移动端组件库。 由于开发者的 npm token被窃取,攻击者向 Vant 组件植入挖矿代码,当用户安装投毒版本时会下载并执行挖矿程序xmrig\(钱包地址:475NBZygwEajj4YP2Bdu7yg6XnaphiFjxTFPkvzg5xAjLGPSakE68nyGavn8r1BYqB44xTEyKQhueeqAyGy8RaYc73URL1j\),并窃取用户云服务凭据\( /.aliyun/config.json、/.hcloud/config.json 以及 \~/.tccli/default.credential文件\)并发送到攻击者可控的服务器地址。