Apache Ambari < 2.7.8 XXE注入漏洞
漏洞描述
Apache Ambari 是一个用于配置、管理和监控 Apache Hadoop 集群的工具。
Apache Ambari <2.7.8中存在XXE注入漏洞,由于DocumentBuilderFactory实例在解析XML文档时未正确配置以禁用外部实体,未验证用户输入。低权限攻击者可以通过提交恶意XML文档来读取服务器上的任意文件以及提升权限等操作。
漏洞名称 | Apache Ambari < 2.7.8 XXE注入漏洞 |
---|---|
漏洞类型 | XXE |
发现时间 | 2024-02-28 |
漏洞影响广度 | 小 |
MPS编号 | MPS-2950-d3zu |
CVE编号 | CVE-2023-50380 |
CNVD编号 | - |
影响范围
ambari@[2.7.0, 2.7.8)
修复方案
将 ambari 升级至 2.7.8 及以上版本
参考链接
https://www.oscs1024.com/hd/MPS-2950-d3zu
https://nvd.nist.gov/vuln/detail/CVE-2023-50380
免费情报订阅&代码安全检测
OSCS是国内首个开源软件供应链安全社区,社区联合开发者帮助全球顶级开源项目解决安全问题,并提供实时的安全漏洞情报,同时提供专业的代码安全检测工具为开发者免费使用。社区开发者可以通过配置飞书、钉钉、企业微信机器人获取一手的情报。
免费代码安全检测工具: https://www.murphysec.com/?src=osc
免费情报订阅: https://www.oscs1024.com/cm/?src=osc
具体订阅方式详见: https://www.oscs1024.com/docs/vuln-warning/intro/?src=osc
低调大师中文资讯倾力打造互联网数据资讯、行业资源、电子商务、移动互联网、网络营销平台。
持续更新报道IT业界、互联网、市场资讯、驱动更新,是最及时权威的产业资讯及硬件资讯报道平台。
转载内容版权归作者及来源网站所有,本站原创内容转载请注明来源。
- 上一篇
warm-flow工作流,支持 orm 方便扩展
介绍 此项目是极其简单的工作流,没有太多设计,代码量少,并且只有6张表,个把小时就可以看完整个设计。使用起来方便 支持简单的流程流转,比如跳转、回退、审批 支持角色、部门和用户等权限配置 官方提供简单流程封装demo项目,很实用 支持多租户 支持代办任务和已办任务,通过权限标识过滤数据 支持互斥网关,并行网关(会签、或签) 可退回任意节点 支持条件表达式,可扩展 同时支持spring和solon 兼容java8和java17,理论11也可以 支持不同orm框架和数据库扩展 git地址:https://gitee.com/warm_4/warm-flow.git demo项目: springboot:hh-vue |演示地址 solon:warm-sun |演示地址 快速开始 在开始之前,我们假定您已经: 熟悉 Java 环境配置及其开发 熟悉 关系型 数据库,比如 MySQL 熟悉 Spring Boot或者Solon 及相关框架 熟悉 Java 构建工具,比如 Maven 导入sql 导入组件目录下文件https://gitee.com/warm_4/warm-flow/blob/m...
- 下一篇
Apache OFBiz <12.12.18 路径遍历漏洞
漏洞描述 Apache OFBiz 是一个开源的企业资源计划系统。 Apache OFBiz 中由于未充分验证用户输入的 contextPath 而导致存在路径遍历漏洞,未授权的攻击者可以通过构造恶意请求绕过认证,进而访问系统中的资源。修复代码通过将contextPath转换为一个URI对象,并调用.normalize()方法来规范化路径,从而防止路径遍历。 漏洞名称 Apache OFBiz <12.12.18 路径遍历漏洞 漏洞类型 路径遍历 发现时间 2024-02-29 漏洞影响广度 小 MPS编号 MPS-rfy8-vc9m CVE编号 CVE-2024-25065 CNVD编号 - 影响范围 ofbiz@(-∞, 18.12.12) 修复方案 将 ofbiz 升级至 18.12.12 及以上版本 参考链接 https://www.oscs1024.com/hd/MPS-rfy8-vc9m Issue Commit 免费情报订阅&代码安全检测 OSCS是国内首个开源软件供应链安全社区,社区联合开发者帮助全球顶级开源项目解决安全问题,并提供实时的安全漏...
相关文章
文章评论
共有0条评论来说两句吧...
文章二维码
点击排行
推荐阅读
最新文章
- CentOS6,7,8上安装Nginx,支持https2.0的开启
- Linux系统CentOS6、CentOS7手动修改IP地址
- Windows10,CentOS7,CentOS8安装MongoDB4.0.16
- SpringBoot2整合Thymeleaf,官方推荐html解决方案
- CentOS7,CentOS8安装Elasticsearch6.8.6
- CentOS7编译安装Gcc9.2.0,解决mysql等软件编译问题
- Eclipse初始化配置,告别卡顿、闪退、编译时间过长
- Springboot2将连接池hikari替换为druid,体验最强大的数据库连接池
- CentOS关闭SELinux安全模块
- CentOS7设置SWAP分区,小内存服务器的救世主