ASF基金会披露由腾讯云鼎实验室通报的高危漏洞
这是近期 ASF 基金会披露的第三个安全问题,此次安全公告主要涉及 CVE-2024-45387 漏洞,该漏洞由腾讯云鼎安全实验室的研究人员报告。
漏洞位于 Apache Traffic Control 流量控制组件中,该组件可以建立内容分发网络即 CDN,实现快速高效地向用户交付内容。
CVE-2024-45387 漏洞 CVSS 评分为 9.9/10 分,若成功利用漏洞则攻击者可以在数据库中执行任意结构化查询语言命令 (即 SQL 命令)。
项目维护者在公告中表示:
Apache Traffic Control 8.0.0~8.0.1 版中的 Traffic Ops 中存在 SQL 注入漏洞,允许具有管理员、联合、操作、门户、指导角色的特权用户通过发送特制的 PUT 请求对数据库执行任意 SQL 命令。
使用该模块的用户应当立即升级到 8.0.2 版,该版本发布于 2024 年 10 月,到现在才披露漏洞就是为了避免有攻击者对新版本进行逆向从而发现漏洞并利用。
-
拥有200万+用户的Telegram消息转发机器人@livegrambot未经用户同意发送广告
基于隐私考虑部分用户会使用消息转发机器人作为中转层来接受消息,这种做法的好处在于可以避免某些垃圾信息机器人的骚扰,但使用这种消息转发机器人本身也存在风险。Telegram 平台知名消息转发机器人 @l
-
Telegram将显示陌生人摘要以打击诈骗 显示包括国籍/注册时间/用户名修改时间等
在 Telegram 上仿冒账号进行欺诈是非常常见的事儿,例如前段时间经常有各种诈骗账号冒充 Telegram 官方要求用户进行所谓的账号验证或解冻等,当用户点击链接确认时就会授予诈骗者登录权限,诈骗
-
东欧黑客向中美ISP发起攻击安装门罗币挖矿软件 超过4000 IP对应服务器被感染
据网络安全威胁研究团队 SPLUNK 发布的分析报告,来自东欧的黑客团伙正在面向中国和美国的 ISP (互联网服务提供商) 发起攻击,此次攻击直接目的就是获得经济利益,因为黑客在服务器上部署挖矿脚本用
关注公众号:拾黑(shiheibook)了解更多
赞助链接:
关注数据与安全,洞悉企业级服务市场:https://www.ijiandao.com/
四季很好,只要有你,文娱排行榜:https://www.yaopaiming.com/
让资讯触达的更精准有趣:https://www.0xu.cn/
关注网络尖刀微信公众号
微信扫码关注公众号