SecEvery - Vulnerability Warning
2025-09-04
Microsoft Web Deploy(msdeploy)是一款用于在Web服务器上进行应用程序和配置部署的工具。它支持通过HTTP\(S\)端点(msdeploy.axd)或Web Deploy Agent服务(msdeployagentservice)进行远程部署。Web Deploy允许用户同步文件、网站、证书、数据库等资源,并支持创建和应用部署包。该工具广泛用于将Web应用程序、IIS配置及其他资源打包并迁移到目标环境,具有高灵活性和扩展性。2025年9月4日,启明星辰集团VSRC监测到一个影响Microsoft Web Deploy的远程代码执行(RCE)漏洞,存在于msdeploy.axd和msdeployagentservice端点。该漏洞源于Web Deploy服务在处理HTTP头部数据时,未安全地反序列化Base64和GZip解码后的内容。攻击者可通过构造恶意请求头(如MSDeploy.SyncOptions),在Web部署过程中利用该漏洞执行恶意代码,从而远程执行系统命令并获取服务器控制权限,漏洞评分8.8分,漏洞级别高危。
2025-09-04
Django是一个高级的Python Web框架,用于快速开发安全、可维护的网站。它鼓励遵循“DRY”(Don't Repeat Yourself)原则,提供了丰富的内置功能,如自动化的管理界面、数据库模型、URL路由、表单处理、验证、认证等。Django是一个全栈框架,适合开发从简单应用到复杂系统的各种Web项目。其设计注重可重用性、快速开发和高效的数据库操作,使开发者能够专注于业务逻辑而非底层代码。2025年9月4日,启明星辰集团VSRC监测到Django框架中的一项高危SQL注入漏洞。该漏洞源于FilteredRelation功能在处理列别名时,未对通过kwargs传递给QuerySet.annotate\(\)或QuerySet.alias\(\)的字典进行充分验证。攻击者可以构造恶意字典,利用字典展开特性,将恶意输入注入SQL查询的列别名部分,从而绕过常规SQL注入防护。成功利用后,攻击者可读取、修改或删除数据库中的敏感数据,甚至执行任意SQL命令,导致数据泄露或完全控制数据库。漏洞评分7.1分,漏洞级别高危。
2025-09-04
百度网盘Windows客户端安装后,后台程序将监听本地10000端口并处理HTTP(HTTPS)请求。其中OpenSafeBox存在命令注入漏洞,攻击者可诱导受害者点击恶意HTML页面实现远程命令执行从而获取系统权限。