夏虫xm - 博客园

2013年8月1日

WordPress BuddyPress Extended Friendship Request插件跨站脚本漏洞

摘要：漏洞名称：WordPress BuddyPress Extended Friendship Request插件跨站脚本漏洞CNNVD编号：CNNVD-201307-609发布时间：2013-07-31更新时间：2013-07-31危害等级：低危漏洞类型：跨站脚本威胁类型：远程CVE编号：CVE-2013-4944WordPress是WordPress软件基金会的一套使用PHP语言开发的博客平台，该平台支持在PHP和MySQL的服务器上架设个人博客网站。BuddyPress Extended Friendship Request是其中的一个在线交流扩展插件。WordPress平台下的BuddyP 阅读全文

posted @ 2013-08-01 22:30 夏虫xm 阅读(155) 评论(0) 推荐(0)

2013年7月26日

Apache HTTP Server mod_session_dbd 远程安全漏洞(CVE-2013-2249)

摘要：漏洞版本:Apache 2.4.2漏洞描述:BUGTRAQ ID: 61379CVE(CAN) ID: CVE-2013-2249Apache HTTP Server是开源HTTP服务器。Apache HTTP Server 2.4.6之前版本的mod_session_dbd模块在保存会话过程中处理“脏旗标”时出错，存在远程安全漏洞，影响目前未知。安全建议:厂商补丁：Apache Group------------Apache Group已经为此发布了一个安全公告（Announcement2.4）以及相应补丁:Announcement2.4：Apache HTTP Server 2.4.6 . 阅读全文

posted @ 2013-07-26 21:12 夏虫xm 阅读(786) 评论(0) 推荐(0)

MongoDB权限提升漏洞(CVE-2013-4650)

摘要：漏洞版本:MongoDB 2.4.0-2.4.4MongoDB 2.5.0漏洞描述:CVE ID: CVE-2013-4650MongoDB是一个高性能，开源，无模式的文档型数据库，是当前NoSql数据库中比较热门的一种MongoDB处理权限检查存在一个安全漏洞，允许借助任意数据库中的_system用户名来获得内部系统权限安全建议:厂商解决方案MongoDB 2.4.5或2.5.1已经修复此漏洞，建议用户下载更新：http://www.mongodb.org 阅读全文

posted @ 2013-07-26 21:10 夏虫xm 阅读(603) 评论(0) 推荐(0)

MongoDB 任意代码执行漏洞(CVE-2013-4142)

摘要：漏洞版本:MongoDB 2.4.0-2.4.4漏洞描述:CVE ID:CVE-2013-4142MongoDB是一个高性能，开源，无模式的文档型数据库，是当前NoSql数据库中比较热门的一种MongoDB "mongo::mongoFind()"函数(src/mongo/scripting/v8_db.cpp)在解析规则表达式时存在一个安全漏洞，允许对MongoDB数据库进行读写访问的用户执行任意代码，拥有只读访问权限的用户可使数据库崩溃。目前还不确定是否是2.2.3版本引入使用的V8 JavaScript引擎而引起的问题安全建议:厂商解决方案MongoDB 2.4.5或阅读全文

posted @ 2013-07-26 21:09 夏虫xm 阅读(1561) 评论(0) 推荐(0)

WordPress Duplicator 0.4.4 Cross Site Scripting

摘要：测试方法:提供程序(方法)可能带有攻击性,仅供安全研究与教学之用,风险自负!Advisory ID: HTB23162Product:DuplicatorWordPressPluginVendor:LifeInTheGridVulnerableVersion(s):0.4.4and probably priorTestedVersion:0.4.4VendorNotification:June19,2013VendorPatch:July21,2013PublicDisclosure:July24,2013VulnerabilityType:Cross-SiteScripting[CWE-79 阅读全文

posted @ 2013-07-26 21:08 夏虫xm 阅读(321) 评论(0) 推荐(0)

MongoDB ‘conn’Mongo 对象远程代码执行漏洞

摘要：漏洞名称：MongoDB ‘conn’Mongo 对象远程代码执行漏洞CNNVD编号：CNNVD-201307-497发布时间：2013-07-25更新时间：2013-07-25危害等级：漏洞类型：代码注入威胁类型：远程CVE编号：CVE-2013-3969漏洞来源：SCRT SecurityMongoDB是美国10gen公司的一套开源的NoSQL数据库。该数据库提供面向集合的存储、动态查询、数据复制及自动故障转移等功能。MongoDB中存在远程代码执行漏洞，该漏洞源于程序没有正确过滤用户提交的输入。攻击者可利用该漏洞在受影响应用程序上下文中执行任意代码。MongoDB 2.4.4版本中存在漏阅读全文

posted @ 2013-07-26 09:31 夏虫xm 阅读(236) 评论(0) 推荐(0)

2013年7月24日

Linux Kernel 本地拒绝服务漏洞

摘要：漏洞名称：Linux Kernel 本地拒绝服务漏洞CNNVD编号：CNNVD-201307-499发布时间：2013-07-24更新时间：2013-07-24危害等级：漏洞类型：威胁类型：本地CVE编号：CVE-2013-4163漏洞来源：Hannes Frederic SowaLinux Kernel是美国Linux基金会发布的一款操作系统Linux所使用的内核。Linux kernel中存在本地拒绝服务漏洞。攻击者可利用该漏洞造成内核崩溃，导致拒绝服务。目前厂商已经发布了升级补丁以修复此安全问题，补丁获取链接：https://www.kernel.org/来源: BID名称: 61412 阅读全文

posted @ 2013-07-24 20:46 夏虫xm 阅读(193) 评论(0) 推荐(0)

Linux Kernel ‘skbuff.c’本地拒绝服务漏洞

摘要：漏洞名称：Linux Kernel ‘skbuff.c’本地拒绝服务漏洞CNNVD编号：CNNVD-201307-498发布时间：2013-07-24更新时间：2013-07-24危害等级：漏洞类型：威胁类型：本地CVE编号：CVE-2013-4162漏洞来源：Hannes Frederic SowaLinux Kernel是美国Linux基金会发布的一款操作系统Linux所使用的内核。Linux kernel中存在本地拒绝服务漏洞。攻击者可利用该漏洞造成内核崩溃，导致拒绝服务。目前厂商已经发布了升级补丁以修复此安全问题，补丁获取链接：https://www.kernel.org/来源: BI 阅读全文

posted @ 2013-07-24 20:44 夏虫xm 阅读(130) 评论(0) 推荐(0)

2013年7月23日

WordPress Citizen Space插件跨站请求伪造漏洞

摘要：漏洞名称：WordPress Citizen Space插件跨站请求伪造漏洞CNNVD编号：CNNVD-201307-463发布时间：2013-07-23更新时间：2013-07-23危害等级：漏洞类型：跨站请求伪造威胁类型：远程CVE编号：Citizen Space是用于WordPress中的一个扩展插件，该插件的作用是通过API访问Citizen Space网站。WordPress是WordPress软件基金会的一套使用PHP语言开发的博客平台，该平台支持在PHP和MySQL的服务器上架设个人博客网站。WordPress的Citizen Space插件中存在跨站请求伪造漏洞。攻击者可利用该阅读全文

posted @ 2013-07-23 20:20 夏虫xm 阅读(110) 评论(0) 推荐(0)

2013年7月22日

OpenSSH远程拒绝服务漏洞

摘要：漏洞版本:OpenSSH漏洞描述:Bugtraq ID:61286OpenSSH是一种开放源码的SSH协议的实现OpenSSH存在一个安全漏洞，允许远程攻击者利用漏洞提交恶意请求，使应用程序崩溃，造成拒绝服务攻击安全建议:厂商解决方案目前没有详细解决方案提供：http://www.openssh.com/ 阅读全文

posted @ 2013-07-22 23:16 夏虫xm 阅读(314) 评论(0) 推荐(0)

漏洞信息库

公告