赛克艾威-漏洞预警

SecEvery - Vulnerability Warning

PostgreSQL PLPerl 代码执行漏洞(CVE-2024-10979)

北京赛克艾威科技有限公司

2024-11-14

PostgreSQL是一款功能强大、灵活可定制的开源关系型数据库管理系统(RDBMS),支持Windows、Linux、UNIX、Mac OS X、BSD等多种操作系统,并因其高度兼容SQL标准和强大的扩展功能,被广泛使用作为Web应用和服务的后端数据库。 PostgreSQL多个受影响版本中,当PL/Perl扩展被安装并启用时,由于PL/Perl扩展未能正确控制环境变量,导致非特权数据库用户可以修改敏感的进程环境变量(如PATH),并可能利用该漏洞执行任意代码、获得对数据库服务器的未授权访问权限,或者执行数据窃取、数据篡改或破坏等恶意操作。

Ollama 未授权访问漏洞

北京赛克艾威科技有限公司

2025-02-27

Ollama 是一个开源的便于本地部署和运行 Llama 3、Mistral、Gemma 等大型语言模型的工具。 据描述,由于 Ollama 的默认部署配置未强制启用身份认证机制,如果服务端口(默认11434)直接暴露于公网,则攻击者可直接访问高危接口,从而读取、下载或删除私有模型文件,并窃取敏感业务数据或滥用模型推理资源,如果 Ollama 以 Docker 部署,则攻击者可能通过恶意指令注入实现容器逃逸。 \- 模型管理接口(拉取/删除模型文件) \- 模型推理接口(执行任意 Prompt 指令) \- 系统配置接口(篡改服务参数)

NAKIVO Backup & Replication任意文件读取漏洞(CVE-2024-48248)

北京赛克艾威科技有限公司

2025-02-26

NAKIVO Backup & Replication 存在任意文件读取漏洞,攻击者可利用STPreLoadManagement 类中的 getImageByPath方法,绕过路径验证并读取目标服务器上的任意文件(包括敏感配置文件、数据库、备份日志等)。

SuperMap-iServer /services 未授权访问漏洞

北京赛克艾威科技有限公司

2025-02-27

未授权访问漏洞是指攻击者未经过身份验证或绕过身份验证机制,就能够访问系统资源或执行敏感操作的安全漏洞。这种漏洞可能导致敏感信息泄露、数据篡改、服务中断等严重后果,给系统安全性带来极大威胁。

科立讯指挥调度平台弱口令漏洞

北京赛克艾威科技有限公司

2025-02-26

弱口令漏洞指的是系统中使用了简单、容易猜测或常见的密码,导致攻击者可以通过猜测或暴力破解的方式轻易获取账户权限,进而访问或控制受影响的系统资源。这种漏洞通常由于缺乏有效的密码策略或用户对安全意识的忽视造成。