| 3331 |
CVE-2020-24455 |
低等 |
tpm2-tss 存在安全漏洞���,该漏洞源于缺少变量的初始化���,允许有特权的用户通过本地访问潜在地启用特权升级。
|
服务器操作系统 |
2021-10-15 |
| 3332 |
CVE-2020-14355 |
重要 |
在SPICE远程显示系统QUIC图像解码过程中发现多个缓冲区溢出漏洞。SPICE客户机(SPICE -gtk)和服务器都受到这些缺陷的影响。这些缺陷允许恶意客户端或服务器发送经过QUIC图像压缩算法处理的特别制作的消息���,这些消息会导致进程崩溃或潜在的代码执行。
|
服务器操作系统 |
2021-10-15 |
| 3333 |
CVE-2020-14093 |
中等 |
Mutt 1.14.3之前版本中存在安全漏洞。攻击者可借助PREAUTH响应利用该漏洞进行中间人攻击。
|
服务器操作系统 |
2021-10-15 |
| 3334 |
CVE-2020-13959 |
中等 |
VelocityView的默认错误页面在Apache Velocity工具3.1之前反映的vm文件进入作为URL的一部分。攻击者可以XSS有效负载文件设置为这个虚拟机文件的URL在这个负载被执行结果。XSS漏洞允许攻击者攻击网站的上下文中执行任意JavaScript和攻击用户。这可以滥用窃取会话cookie,执行请求的名称或钓鱼攻击受害者。
|
服务器操作系统 |
2021-10-15 |
| 3335 |
CVE-2020-13936 |
重要 |
Apache Velocity Engine versions up to 2.2 存在安全漏洞���,攻击者可利用该漏洞执行任意Java代码或运行任意系统命令。
|
服务器操作系统 |
2021-10-15 |
| 3336 |
CVE-2020-11987 |
中等 |
Apache Batik 1.13服务器端请求伪造是脆弱的,由NodePickerPanel不当造成的输入验证。通过使用一个特制的论点,攻击者可以利用此漏洞导致底层服务器进行任意的GET请求。
|
服务器操作系统 |
2021-10-15 |
| 3337 |
CVE-2019-18281 |
低等 |
Qt qtbase 中的qtextengine.cpp文件的‘generateDirectionalRuns()’函数存在缓冲区错误漏洞。该漏洞源于网络系统或产品在内存上执行操作时���,未正确验证数据边界���,导致向关联的其他内存位置上执行了错误的读写操作。攻击者可利用该漏洞导致缓冲区溢出或堆溢出等。
|
服务器操作系统 |
2021-10-15 |
| 3338 |
CVE-2021-40732 |
中等 |
Adobe Xmp Toolkit是美国Adobe公司的一个工具包。用于将 Xmp 功能集成到产品或解决方案中。Adobe XMP Toolkit 2020.1 以及之前版本存在代码问题漏洞���,该漏洞源于软件当中存在空指针解引用问题。该漏洞可能导致软件从某些内存位置泄漏数据���,并导致当前用户的本地拒绝服务。利用此漏洞需要用户交互���,因为受害者将需要打开一个专门制作的MXF文件。
|
服务器操作系统 |
2021-10-13 |
| 3339 |
CVE-2021-25634 |
中等 |
LibreOffice是文档基金会(The Document Foundation���,tdf)的一套开源的办公软件套件。该产品包含Writer(文本文档)���、Calc(电子表格)和Impress(演示文稿)等应用程序。LibreOffice存在信任管理问题漏洞���,该漏洞源于应用程序未正确检查ODF文件的数字签名。攻击者可利用该漏洞将文档中的签名算法更改为无效的(或LibreOffice未知的)算法���,LibreOffice将错误地将这种使用未知算法的签名表示为可信人员签发的有效签名。
|
服务器操作系统 |
2021-10-12 |
| 3340 |
CVE-2021-25633 |
中等 |
LibreOffice是文档基金会(The Document Foundation���,tdf)的一套开源的办公软件套件。该产品包含Writer(文本文档)���、Calc(电子表格)和Impress(演示文稿)等应用程序。LibreOffice 7.0.6之前的7.0版本���,7.1.2之前的7.1版本存在信任管理问题漏洞���,攻击者可利用该漏洞通过操纵文档中的documentsignatures.xml或macrosignatures.xml流来组合多个证书数据���,从而创建数字签名的ODF文档���,打开时���,会导致LibreOffice显示一个有效签名的指示器���,但其内容与显示的签名无关。
|
服务器操作系统 |
2021-10-11 |
| 3341 |
CVE-2021-32672 |
中等 |
Redis Labs Redis是美国Redis Labs公司的一套开源的使用ANSI C编写���、支持网络���、可基于内存亦可持久化的日志型���、键值(Key-Value)存储数据库���,并提供多种语言的API。Redis 存在缓冲区错误漏洞���,当使用Redis Lua调试器时���,用户可以发送错误的请求���,导致调试器的协议解析器读取超出实际缓冲区的数据。
|
服务器操作系统 |
2021-10-04 |
| 3342 |
CVE-2021-32626 |
中等 |
Redis Labs Redis是美国Redis Labs公司的一套开源的使用ANSI C编写���、支持网络���、可基于内存亦可持久化的日志型���、键值(Key-Value)存储数据库���,并提供多种语言的API。Redis 存在缓冲区错误漏洞���,在Redis中执行特别制作的Lua脚本可能会导致基于堆的Lua堆栈溢出���,这可能导致堆损坏���,并可能导致远程代码执行。从2.6版本开始���,所有支持Lua脚本的Redis版本都存在该漏洞。
|
服务器操作系统 |
2021-10-04 |
| 3343 |
CVE-2021-41092 |
中等 |
Docker是美国Docker公司的一款开源的应用容器引擎。该产品支持在Linux系统上创建一个容器(轻量级虚拟机)并部署和运行应用程序���,以及通过配置文件实现应用程序的自动化安装���、部署和升级。Docker CLI 存在信息泄露漏洞���,该漏洞源于在 Docker CLI 中发现了一个错误���,其中运行 docker login my-private-registry.example.com并带有一个错误配置的配置文件(通常是 ~/.docker/config.json)���,其中列出了 credsStore 或 credHelpers 无法执行将导致任何提供的凭据被发送到registry-1.docker.io而不是预期的私有注册表。
|
服务器操作系统 |
2021-10-04 |
| 3344 |
CVE-2021-41091 |
中等 |
Moby是一个开源项目���,旨在推动软件的容器化���,并帮助生态系统使容器技术主流化。Moby 存在安全漏洞���,该漏洞源于在Moby (Docker Engine)中发现了一个bug���,数据目录(通常是var lib Docker )包含的子目录权限没有受到足够的限制���,允许没有特权的Linux用户遍历目录内容和执行程序。攻击者可利用该漏洞当容器包含具有扩展权限位(如setuid )的可执行程序时���,没有特权的Linux用户可以发现并执行这些程序。
|
服务器操作系统 |
2021-10-04 |
| 3345 |
CVE-2021-41089 |
中等 |
Docker Engine是美国Docker公司的一套轻量级的运行环境和包管理工具。Docker Engine 存在安全漏洞���,该漏洞源于使用docker cp将文件复制到精心编制的容器中可能会导致主机中现有文件的Unix文件权限发生变化。攻击者可利用该漏洞访问受限数据。
|
服务器操作系统 |
2021-10-04 |
