WuThreat身份安全云-TVD每日漏洞情报-2023-09-20

最新推荐文章于 2024-08-12 10:03:09 发布
最新推荐文章于 2024-08-12 10:03:09 发布
阅读量325 收藏
点赞数
文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44242297/article/details/133066108
版权

漏洞名称:JumpServer 授权问题漏洞
漏洞级别:高危
漏洞编号:CVE-2023-42442,CNNVD-202309-1115
相关涉及:JumpServer JumpServer 3.0.0
漏洞状态:POC
参考链接:https://tvd.wuthreat.com/#/listDetail?TVD_ID=TVD-2023-22997

漏洞名称:SOURCECODESTER MY FOOD RECIPE 无限制上传
漏洞级别:严重
漏洞编号:CVE-2023-5034,CNNVD-202309-1156
相关涉及:Sourcecodester My Food Recipe 1.0
漏洞状态:POC
参考链接:https://tvd.wuthreat.com/#/listDetail?TVD_ID=TVD-2023-23047

漏洞名称:OPENRAPID RAPIDCMS  SQL 注入
漏洞级别:高危
漏洞编号:CVE-2023-5032,CNNVD-202309-1162
相关涉及:OpenRapid RapidCMS 1.3.1
漏洞状态:POC
参考链接:https://tvd.wuthreat.com/#/listDetail?TVD_ID=TVD-2023-23049

漏洞名称:TONGDA OA SQL 注入
漏洞级别:中危
漏洞编号:CVE-2023-5019,CNNVD-202309-1143
相关涉及:TONGDA Office Anywhere 11.10之前版本
漏洞状态:POC
参考链接:https://tvd.wuthreat.com/#/listDetail?TVD_ID=TVD-2023-23032

漏洞名称:华硕 RT-AX88U 高级开放 VPN 格式字符串
漏洞级别:高危
漏洞编号:CVE-2023-41349,CNNVD-202309-1153
相关涉及:ASUS ROG Rapture RT-AX88U
漏洞状态:未定义
参考链接:https://tvd.wuthreat.com/#/listDetail?TVD_ID=TVD-2023-23102

WuThreat
关注
漏洞复现】JumpServer未授权访问漏洞(CVE-2023-42442)
做自己喜欢的事,并将其发挥到极致!
09-20 1693
JumpServer是一款开源的堡垒机和权限管理系统,旨在帮助企业实现对服务器和网络设备的安全管理和访问控制。JumpServer的权限管理存在缺陷,未经授权的远程攻击者可以下载历史会话连接期间的所有操作日志。经过分析和研判,该漏洞利用难度低,可导致敏感信息泄漏。
漏洞预警:JumpServer未授权访问漏洞CVE-2023-42442
yuanlirong22的专栏
09-19 2119
JumpServer堡垒主机API接口/api/v1/terminal/sessions/权限控制被破坏,该API会话重放可以在没有身份验证的情况下下载。利用该漏洞可以访问录像文件,远程获取到敏感信息。
JumpServer未授权访问漏洞 CVE-2023-42442
holyxp的博客
09-20 1024
JumpServer 是全球首款完全开源的堡垒机, 使用GNU GPL v2.0 开源协议, 是符合4A 的专业运维审计系统。 JumpServer 使用Python / Django 进行开发。2021年1月15日,阿里应急响应中心监控到开源堡垒机JumpServer发布更新,修复了一处远程命令执行漏洞。由于 JumpServer 某些接口未做授权限制,攻击者可构造恶意请求获取到日志文件获取敏感信息,或者执行相关API操作控制其中所有机器。
漏洞复现-CVE-2023-42442:JumpServer未授权访问漏洞
最新发布
玄道的网安博客
08-12 310
JumpServer在此次修复中移除了对该类的引用,很可能是为了修复前述的未授权访问问题。API端点的权限控制存在逻辑错误,允许攻击者匿名访问。未经身份验证的远程攻击者可以利用此漏洞下载SSH日志,并可能借此远程窃取敏感信息。值得注意的是,存储在S3、OSS或其他存储中的SSH会话不受此漏洞影响。:攻击者可利用此漏洞访问会话信息,可能导致JumpServer中的敏感会话数据被窃取,例如用户数据、会话密钥等。尽快升级JumpServer至安全版本,即版本3.5.5或3.6.4及以上。,官方从代码中移除了。
[CVE-2023-42442]JumpServer 会话录像文件未授权访问漏洞
whoami
09-19 795
在JumpServer受影响版本中,由于会话回放录像接口/api/v1/terminal/sessions/鉴权不当,未授权的攻击者可以通过直接访问/api/v1/terminal/sessions/接口查看并下载会话回放录像数据。是一个抽象基类,它定义了一组用于权限判断的方法,但它本身并没有提供任何默认的权限控制逻辑。由于jumpserver 很多用户还未升级到3以上版本,读者们可以自行搭建漏洞版本范围内的版本进行测试。临时策略可禁止访问/api/v1/terminal/sessions/接口。
CVE-2021-42342漏洞复现及docker环境搭建
axdnoob的博客
07-18 3028
CVE-2021-42342 漏洞复现
FUNWAVE-TVD-Version3.4.zip
11-04
在FUNWAVE-TVD-Version3.4的压缩包中,包含了该软件的所有源代码、编译说明、示例案例和用户指南。用户可以通过阅读文档了解如何安装和使用该软件,进行模型设定,导入自定义地形数据,以及运行和后处理模拟结果。源...
tvd_rk2.rar_Navier-Stocks_Stokes_Stokes matlab_TVD matlab_navier
07-14
2D Navier-Stokes方程,编程的算法方面,结构格式。MATLAB语言编写
N-S-1D_TVD采用迎风型差分_tvd_可压_一维可压缩黏性N-S方程_
10-01
标题中的"N-S-1D_TVD采用迎风型差分_tvd_可压_一维可压缩黏性N-S方程"关键词表明,这个压缩包文件包含的是关于一维可压缩黏性Navier-Stokes(N-S)方程的数值求解方法,特别是使用Total Variation Diminishing(TVD...
1D Compressive N-S eqution(B).rar_C#_CFD_N-S equation_tvd
07-14
1D Compressive Viscous N-S Equation Sovler by up-wind TVD.
sunxi-tv-decoder-master_tvd_全志_
09-30
"tvd"可能是“TV Decoder”的缩写,暗示这个项目的核心功能就是电视解码。 这个工程可能包括以下几个关键知识点: 1. **硬件加速**:全志A20 SoC集成了硬件视频解码单元,如VPU(Video Processing Unit)或GPU,...
JumpServer存在未授权访问漏洞CVE-2023-42442) 附POC
nnn2188185的博客
09-22 909
Jumpserver是一款开源的堡垒主机和专业的运维安全审计系统,JumpServer存在未授权访问漏洞(CVE-2023-42442):未经身份验证的远程攻击者利用该漏洞可以访获取敏感信息。
Jumpserver安全一窥:Sep系列漏洞深度解析
离别歌
10-07 3369
Jumpserver是中国国内公司开发的一个开源项目,在开源堡垒机领域一家独大。在2023年9月官方集中修复了一系列安全问题,其中涉及到如下安全漏洞:JumpServer 重置密码验证码可被计算推演的漏洞CVE编号为CVE-2023-42820JumpServer 重置密码验证码可被暴力破解的漏洞CVE编号为CVE-2023-43650JumpServer 认证用户跨目录任意文件读取漏洞,CV...
CVE-2023-28432 MiniO信息泄露漏洞复现
Love&Share
04-28 6476
MiniO 是一个基于 Apache License v2.0 开源协议的对象存储服务。它兼容亚马逊 S3 存储服务接口,非常适合于存储大容量非结构化的数据,例如图片、视频、日志文件、备份数据和容器/虚拟机镜像等在集群部署的 Minio 中,未授权的攻击者可发送恶意的 HTTP 请求来获取 Minio 环境变量中的敏感信息(MINIO_SECRET_KEY和MINIO_ROOT_PASSWORD),可能导致攻击者以管理员权限登录 Minio,分布式部署的所有用户都会受到影响,单机用户没有影响。
漏洞复现】CVE-2023-28432 MinIO集群模式信息泄露漏洞
m0_53121608的博客
07-16 2805
漏洞复现】CVE-2023-28432 MinIO集群模式信息泄露漏洞
CVE-2023-42442:JumpServer堡垒机会话回放未授权访问漏洞复现
薛定谔嘚喵博客
09-25 390
Jumpserver是一款开源的堡垒主机和专业的运维安全审计系统,JumpServer存在未授权访问漏洞(CVE-2023-42442):未经身份验证的远程攻击者利用该漏洞可以访获取敏感信息。JumpServer堡垒机的/api/v1/terminal/sessions/接口由于权限控制不严格,导致可以在未授权的情况下获取到堡垒机的历史会话回放列表,这是官方在公告中声明的身份认证问题。
漏洞分析 | JumpServer未授权访问漏洞CVE-2023-42442
WangsuSecurity的博客
01-25 918
由于JumpServer某接口未做授权限制,允许任何未经身份验证的用户获取session信息,最终结合目录权限绕过下载录像文件,其中可能包含敏感信息,如密码、历史命令等。
CVE-2023-42820:JumpServer密码重置漏洞
2301_80115097的博客
11-10 880
JumpServer开源堡垒机是一款运维安全审计系统产品,提供身份验证、授权控制、账号管 理、安全审计等功能支持,帮助企业快速构建运维安全审计能力。JumpServer开源堡垒机 通过企业版或者软硬件一体机的方式,向企业级用户交付开源增值的运维安全审计解决方 案。漏洞编号:CVE-2023-42820漏洞的核心是随机数种子泄露导致的,未授权的攻击者可以利用该漏洞推算出没有开启多因子验证(MFA)的账号的“重置密码Token”,进而修改该账号的密码。
TVD-VPE:基于VPE的可信虚拟域安全构建
"该文提出了一种基于虚拟以太网VPE的可信虚拟域构建机制TVD-VPE,旨在解决计算环境下虚拟机间网络安全和敏感数据防泄漏问题。TVD-VPE采用分离式设备驱动模型,通过后端驱动对数据进行安全策略检查和加密,设计了...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值