pdfkit <0.8.7 存在命令注入漏洞
漏洞描述
pdfkit 是一个使用wkhtmltopdf将HTML转化为PDF的工具。
pdfkit 在0.8.7之前的版本中由于对 URL 未正确清理从而存在命令注入漏洞。攻击者可利用此漏洞通过构造恶意url参数进行命令注入,从而进行任意代码执行。
漏洞名称 | pdfkit <0.8.7 存在命令注入漏洞 |
---|---|
漏洞类型 | 命令注入 |
发现时间 | 2022-09-09 |
漏洞影响广度 | 极小 |
MPS编号 | MPS-2022-5124 |
CVE编号 | CVE-2022-25765 |
CNVD编号 | - |
影响范围
pdfkit@[0.0.0, +∞)
pdfkit@[0.0.0, +∞)
修复方案
参考链接
https://www.oscs1024.com/hd/MPS-2022-5124
https://nvd.nist.gov/vuln/detail/CVE-2022-25765
情报订阅
OSCS(开源软件供应链安全社区)通过最快、最全的方式,发布开源项目最新的安全风险动态,包括开源组件安全漏洞、事件等信息。同时提供漏洞、投毒情报的免费订阅服务,社区用户可通过配置飞书、钉钉、企业微信机器人,及时获得一手情报信息推送:
https://www.oscs1024.com/cm/?src=osc
具体订阅方式详见:
低调大师中文资讯倾力打造互联网数据资讯、行业资源、电子商务、移动互联网、网络营销平台。
持续更新报道IT业界、互联网、市场资讯、驱动更新,是最及时权威的产业资讯及硬件资讯报道平台。
转载内容版权归作者及来源网站所有,本站原创内容转载请注明来源。
- 上一篇
vim/vim <9.0.0404 NULL指针取消引用漏洞
漏洞描述 Vim 是老式 UNIX 编辑器 Vi的一个改进的版本。 Vim 在9.0.0404之前的版本中 "vim/src/regexp.c" 中的vim_regcomp()函数存在NULL 指针取消引用漏洞。攻击者可利用此漏洞造成拒绝服务或恶意代码执行。 漏洞名称 vim/vim <9.0.0404 NULL指针取消引用漏洞 漏洞类型 空指针解引用 发现时间 2022-10-15 漏洞影响广度 一般 MPS编号 MPS-2022-56902 CVE编号 CVE-2022-3153 CNVD编号 - 影响范围 vim-doc@(-∞, 2:9.0.0626-1) vim-runtime@(-∞, 2:9.0.0626-1) vim-tiny@(-∞, 2:9.0.0626-1) vim-motif@(-∞, 2:9.0.0626-1) vim@(-∞, 2:9.0.0626-1) vim-gtk3@(-∞, 2:9.0.0626-1) vim-common@(-∞, 2:9.0.0626-1) vim-gui-common@(-∞, 2:9.0.0626-1) vim-athe...
- 下一篇
rdiffweb <2.4.1 存在点击劫持漏洞
漏洞描述 rdiffweb 是一个提供 Web 界面的备份管理软件。 Rdiffweb 2.4.1之前的版本由于对渲染 UI 层限制不当从而存在点击劫持漏洞。攻击者可利用此漏洞将易受攻击的站点嵌入到自己网站的透明 iframe 中,通过诱导用户点击看似正常的网站页面从而造成点击劫持攻击,导致用户在恶意网站上执行各种意外操作。 漏洞名称 rdiffweb <2.4.1 存在点击劫持漏洞 漏洞类型 渲染 UI 层或帧的不当限制 发现时间 2022-10-15 漏洞影响广度 极小 MPS编号 MPS-2022-56448 CVE编号 CVE-2022-3167 CNVD编号 - 影响范围 rdiffweb@(-∞, 2.4.1) 修复方案 升级rdiffweb到 2.4.1 或更高版本 参考链接 https://www.oscs1024.com/hd/MPS-2022-56448 https://huntr.dev/bounties/e5c2625b-34cc-4805-8223-80f2689e4e5c https://github.com/ikus060/rdiffweb/comm...
相关文章
文章评论
共有0条评论来说两句吧...
文章二维码
点击排行
推荐阅读
最新文章
- Docker安装Oracle12C,快速搭建Oracle学习环境
- CentOS关闭SELinux安全模块
- CentOS7编译安装Cmake3.16.3,解决mysql等软件编译问题
- Docker使用Oracle官方镜像安装(12C,18C,19C)
- Windows10,CentOS7,CentOS8安装Nodejs环境
- CentOS7编译安装Gcc9.2.0,解决mysql等软件编译问题
- CentOS6,7,8上安装Nginx,支持https2.0的开启
- CentOS7安装Docker,走上虚拟化容器引擎之路
- SpringBoot2初体验,简单认识spring boot2并且搭建基础工程
- CentOS8编译安装MySQL8.0.19