SecEvery - Vulnerability Warning
2025-07-08
Redis是一个开源的内存数据结构存储系统,广泛应用于缓存、消息队列、实时分析等场景。它支持多种数据结构,如字符串、哈希、列表、集合、有序集合等,并提供丰富的操作命令。Redis具有高性能、灵活性和持久化能力,数据可以保存在内存中,定期或根据需求同步到磁盘。它支持主从复制、分区和高可用性配置,常用于提高系统响应速度和可扩展性。由于其高效的读取和写入性能,Redis成为现代分布式系统中不可或缺的组件之一。2025年7月8日,启明星辰集团VSRC监测到Redis中的hyperloglog命令越界写入导致的RCE漏洞,影响Redis版本2.8到8.0.3之前的所有版本,包括7.4.5、7.2.10和6.2.19。攻击者可以利用认证用户身份,通过特殊构造的字符串触发hyperloglog操作中的堆栈/堆越界写入漏洞,可能导致远程代码执行(RCE),漏洞评分7.0分,漏洞等级高危。
2025-07-08
Redis是一个开源的内存数据结构存储系统,广泛应用于缓存、消息队列、实时分析等场景。它支持多种数据结构,如字符串、哈希、列表、集合、有序集合等,并提供丰富的操作命令。Redis具有高性能、灵活性和持久化能力,数据可以保存在内存中,定期或根据需求同步到磁盘。它支持主从复制、分区和高可用性配置,常用于提高系统响应速度和可扩展性。由于其高效的读取和写入性能,Redis成为现代分布式系统中不可或缺的组件之一。2025年7月8日,启明星辰集团VSRC监测到Redis中的一个未认证连接漏洞,攻击者通过反复发送IP协议错误的请求,可能导致客户端无法正常访问,最终造成拒绝服务(DoS)。该漏洞影响所有版本的Redis。攻击者可利用该漏洞在没有认证的情况下,持续发送无效请求,导致系统资源耗尽,进而引发服务中断,漏洞评分7.5分,漏洞等级高危。
2025-07-09
Git是一个分布式版本控制系统,用于跟踪文件变化并协作开发软件。由Linus Torvalds于2005年创建,Git允许多个开发者并行工作,管理源代码历史记录。它支持本地操作,用户无需连接到中央服务器即可进行版本控制。Git的核心特点包括高效的分支管理、合并功能、以及支持大规模项目的能力。通过命令行和图形界面工具(如GitHub Desktop)可以与Git仓库进行交互,广泛应用于开源和私有软件项目中。2025年7月8日,启明星辰集团VSRC监测到Git中的一个远程代码执行漏洞,影响类Unix平台。该漏洞源于Git配置文件对回车符(CR)的处理不当。在使用git clone \-\-recursive命令时,Git会从.gitmodules文件读取子模块路径并检出相应的子模块。然而,若子模块路径包含尾部回车符(^M),Git会错误地处理该路径,导致回车符丢失并将路径写入.git/modules/foo/config中,进而使子模块被检出到错误路径。若存在符号链接指向错误路径,并且子模块包含可执行的post\-checkout钩子脚本,该脚本可能在检出时意外执行,从而导致远程代码执行(RCE...
2025-07-16
Oracle WebLogic Server是Oracle公司推出的一款企业级应用服务器,主要用于构建、部署和运行Java EE(企业级Java应用程序)。它支持Web服务、分布式系统、事务管理、持久性、消息传递等功能,广泛应用于企业级应用和云计算环境。作为一个中间件平台,WebLogic提供高可用性、可伸缩性和安全性,适用于构建大规模、容错的企业应用。2025年7月16日,启明星辰集团VSRC监测到Oracle WebLogic Server产品中的一个未授权访问漏洞。该漏洞允许攻击者无需身份验证,仅通过T3或IIOP协议进行网络访问,便可攻击Oracle WebLogic Server。成功利用此漏洞后,攻击者能够未经授权访问WebLogic Server中所有可访问的关键数据。漏洞评分7.5分,漏洞级别高危。
2025-07-16
Oracle数据库是全球广泛使用的关系型数据库管理系统(RDBMS),由甲骨文公司(Oracle Corporation)开发。它支持多种操作系统平台,提供高性能、可扩展性和可靠性。Oracle数据库用于存储、管理和操作大量数据,广泛应用于企业级应用、数据仓库、在线事务处理(OLTP)系统等场景。其核心特性包括支持SQL、ACID事务、数据分区、备份恢复、以及强大的安全控制机制。Oracle数据库还支持高可用性和分布式数据库管理。2025年7月16日,启明星辰集团VSRC监测到Oracle数据库服务器组件存在远程接管漏洞。该漏洞可被低权限攻击者利用,攻击者只需具备Create Session和Create Procedure权限,并通过Oracle Net获取网络访问权限即可发起攻击。一旦成功利用,该漏洞可能导致攻击者完全接管Oracle数据库。漏洞评分8.8分,漏洞级别高危。