SecEvery - Vulnerability Warning
2024-08-21
Linux kernel contains a heap\-based buffer overflow vulnerability in the legacy\_parse\_param function in the Filesystem Context functionality. This allows an attacker to open a filesystem that does not support the Filesystem Context API and ultimately escalate privileges.
2024-08-21
Dahua IP cameras and related products contain an authentication bypass vulnerability when the loopback device is specified by the client during authentication.
2024-08-21
Dahua IP cameras and related products contain an authentication bypass vulnerability when the NetKeyboard type argument is specified by the client during authentication.
2024-08-20
Atlassian Bamboo 是持续集成和部署工具,可以将自动化构建、测试和发布整合在单个工作流中。CVE\-2024\-21689 中,攻击者可在登录后构造恶意请求造成远程代码执行,控制服务器。漏洞在 9.1.0、9.2.0、9.3.0、9.4.0、9.5.0、9.6.0版本中引入。由于 9.2.x 为长期支持版本,官方针对其发布9.2.17安全修复版本,其他受影响版本建议升级至最新版本。
2024-08-20
Spring Security 是Spring框架中用于处理认证和授权的子项目,@AuthorizeReturnObject 注解用于在方法返回结果后执行权限检查。 受影响版本中,当应用满足以下条件时,@PreFilter、@PostFilter、@PreAuthorize 或 @PostAuthorize 注解会失效,导致安全校验绕过: 1、使用 AnnotationAwareAspectJAutoProxyCreator 创建代理; 2、程序上下文中至少有一个 FactoryBean; 3、使用 @EnableMethodSecurity 启用方法级安全性控制; 4、使用 @AuthorizeReturnObject 注解或由 Spring Security 生成的 AuthorizationAdvisorProxyFactory @Bean 对对象进行封装。