Containous Traefik 授权标头泄露漏洞
漏洞描述
Containous Traefik是美国Containous公司的一款反向代理和负载平衡器。Containous Traefik 2.9.6之前的版本存在信息泄露漏洞,该漏洞源于其调试日志中显示授权标头。
| 漏洞名称 | Containous Traefik 授权标头泄露漏洞 |
|---|---|
| 漏洞类型 | 信息暴露 |
| 发现时间 | 2022-12-09 |
| 漏洞影响广度 | 小 |
| MPS编号 | MPS-2022-1896 |
| CVE编号 | CVE-2022-23469 |
| CNVD编号 | - |
影响范围
github.com/traefik/traefik/v2@(-∞, 2.9.6)
修复方案
将组件 github.com/traefik/traefik/v2 升级至 2.9.6 及以上版本
参考链接
https://www.oscs1024.com/hd/MPS-2022-1896
https://nvd.nist.gov/vuln/detail/CVE-2022-23469
情报订阅
OSCS(开源软件供应链安全社区)通过最快、最全的方式,发布开源项目最新的安全风险动态,包括开源组件安全漏洞、事件等信息。同时提供漏洞、投毒情报的免费订阅服务,社区用户可通过配置飞书、钉钉、企业微信机器人,及时获得一手情报信息推送:
https://www.oscs1024.com/cm/?src=osc
具体订阅方式详见:
https://www.oscs1024.com/docs/vuln-warning/intro/?src=osc
关注公众号 低调大师中文资讯倾力打造互联网数据资讯、行业资源、电子商务、移动互联网、网络营销平台。
持续更新报道IT业界、互联网、市场资讯、驱动更新,是最及时权威的产业资讯及硬件资讯报道平台。
转载内容版权归作者及来源网站所有,本站原创内容转载请注明来源。
- 上一篇
TinyMCE 存在反射型跨站脚本漏洞
漏洞描述 TinyMCE 是一个开源的富文本编辑器。 TinyMCE 的受影响版本中由于未正确清理“WindowManager.alert”和“WindowManager.confirm” API 消息中的 HTML 从而存在 XSS 漏洞。攻击者可利用此漏洞向警报和确认对话框中提供恶意的 HTML 内容,当 TinyMCE UI 弹出报警或错误对话框时执行攻击者可控的恶意 Javascript 代码。 用户可参考 images _ load _ Handler 文档确保 images _ load _ Handler 返回始终有效值缓解此漏洞。 漏洞名称 TinyMCE 存在反射型跨站脚本漏洞 漏洞类型 XSS 发现时间 2022-12-09 漏洞影响广度 小 MPS编号 MPS-2022-1921 CVE编号 CVE-2022-23494 CNVD编号 - 影响范围 tinymce@[6.0.0, 6.3.1) tinymce@(-∞, 5.10.7) tinymce@(-∞, 5.10.7) tinymce/tinymce@[6.0.0, 6.3.1) tinymce/tinym...
- 下一篇
cube-js v0.31.23存在 sql 注入漏洞
漏洞描述 cube-js 是一个商业智能平台,帮助数据工程师和应用程序开发人员从现代数据存储中访问数据,将其组织成一致的定义,并将其交付给每个应用程序。 cube-js v0.31.23版本中,所有经过身份验证的 Cube 客户端都可以绕过 SQL row-level 安全性并通过新引入的 /v1/sql-runner 端点运行任意 SQL,攻击者可通过构造恶意 sql 获取 cube 数据源中的敏感信息。此问题已在版本 0.31.24 中得到解决,建议用户升级到 0.31.24 或降级到 0.31.22。 漏洞名称 cube-js v0.31.23存在 sql 注入漏洞 漏洞类型 SQL注入 发现时间 2022-12-10 漏洞影响广度 一般 MPS编号 MPS-2022-1937 CVE编号 CVE-2022-23510 CNVD编号 - 影响范围 @cubejs-backend/api-gateway@[0.31.23, 0.31.24) 修复方案 升级@cubejs-backend/api-gateway到 0.31.24 或更高版本 降级@cubejs-backend/api...
相关文章
文章评论
共有0条评论来说两句吧...
微信收款码
支付宝收款码