【Nacos安全漏洞说明】-CVE-2021-29441-权限认证绕过...
漏洞描述 Nacos在低版本(1.2.0至1.4.0版本)存在过于简单的服务端间请求判断条件,使得攻击者可以简单模拟服务端间请求来绕过权限认证,从而获取敏感信息。影响范围 以下集群可能受此漏洞影响,您需要注意并升级Nacos。自行搭建的1.2.0~1...
DescribeVulDetails-查询漏洞详情
取值:cve:Linux 漏洞 sys:Windows 漏洞 cms:Web-CMS 漏洞 app:应用漏洞 emg:应急漏洞 sca:软件成分分析漏洞 sca Name string 是 漏洞名称。说明 您可以调用 DescribeGroupedVul 或 DescribeVulList 获取该参数。SCA:ACSV-2020-...
漏洞CVE-2022-0185公告
近日Linux社区披露了内核安全漏洞CVE-2022-0185,该漏洞源于Linux内核文件系统中参数处理的边界条件,攻击者可以利用漏洞发起DDos攻击或进一步逃逸容器,提权获取主机权限。本文介绍该漏洞的影响和影响范围,以及防范措施。CVE-2022-0185...
【漏洞公告】OpenSSL 缓冲区溢出漏洞预警(CVE-2021-...
近日,OpenSSL官方发布安全公告,披露在特定版本中存在缓冲区溢出漏洞(编号CVE-2021-3711),远程攻击者可通过发送特制的SM2内容,溢出缓冲区并在系统上执行其他代码或导致拒绝服务。漏洞信息 该漏洞是OpenSSL在解密SM2时造成的缓冲区溢出...
DescribeVulConfig-查询漏洞管理配置
取值:cve:Linux 软件漏洞 sys:Windows 系统漏洞 cms:Web-CMS 漏洞 app:应用漏洞(web 扫描器)emg:应急漏洞 scanMode:显示真实风险漏洞 imageVulClean:漏洞保留时长 yum:优先使用阿里云源进行漏洞修复 cve 返回参数 名称 类型 ...
所有ECS实例漏洞都已修复
云安全中心发现的所有ECS实例的漏洞都已修复,视为“合规”。应用场景 及时修复ECS实例的安全漏洞,保障安全生产,避免影响生产连续性。风险等级 默认风险等级:高风险。当您使用该规则时,可以按照实际需求变更风险等级。检测逻辑 云安全...
漏洞CVE-2022-3162公告
近日Kubernetes社区披露了安全漏洞CVE-2022-3162,对于任意可在命名空间内创建的自定义资源,如果攻击者被授予了关于该自定义资源集群维度的 list 或 watch 权限时,该攻击者可以利用漏洞在未授权时,读取同一API组中不同类型自定义资源...
CVE-2023-27491漏洞公告
本文介绍CVE-2023-27491漏洞的影响范围、漏洞影响和防范措施。关于CVE-2023-27491漏洞的详细描述,请参见 CVE-2023-27491。影响范围 ASM实例的版本为1.16.4以下,授权策略会受此漏洞影响。漏洞影响 从HTTP/2或HTTP/3客户端代理到HTTP/1上游...
漏洞CVE-2021-25741公告
Kubernetes社区公布了安全漏洞CVE-2021-25741,该漏洞可使攻击者使用软链接的方式在容器中挂载指定subPath配置的目录逃逸到主机敏感目录。本文介绍该漏洞的影响和影响范围,以及防范措施。CVE-2021-25741漏洞被评估为高危漏洞,在CVSS的...
漏洞公告|Windows Print Spooler 0day漏洞预警(CVE-...
微软官方于2021年07月01日发布Windows Print Spooler远程代码执行漏洞,漏洞编号为CVE-2021-34527。成功利用该漏洞的攻击者可以使用SYSTEM权限运行任意代码。阿里云建议您及时更新漏洞补丁,并做好安全防护工作。漏洞信息 漏洞编号:CVE-...
CVE-2023-27487漏洞公告
本文介绍CVE-2023-27487漏洞的描述、影响范围、漏洞产生的原因和防范措施。漏洞描述 该漏洞可能会导致请求绕过JWT授权策略。标头 x-envoy-original-path 应当是一个内部标头,但即使请求来自外部不受信任的客户端,ASM网关或Sidecar在处理...
OperateVuls-修复Linux软件漏洞
修复Linux软件漏洞。调试 您可以在OpenAPI Explorer中直接运行该接口,免去您计算签名的困扰。运行成功后,OpenAPI Explorer可以自动生成SDK代码示例。调试 授权信息 下表是API对应的授权信息,可以在RAM权限策略语句的 Action 元素中使用...
CVE-2023-27492漏洞公告
本文介绍CVE-2023-27492漏洞的影响范围、漏洞影响和防范措施。关于CVE-2023-27492漏洞的详细描述,请参见 CVE-2023-27492。影响范围 同时满足以下两个条件,授权策略会受此漏洞影响:ASM实例的版本为1.16.4以下。使用基于Lua Filter的插件...
DescribeGroupedVul-分组查询漏洞信息
取值:cve:Linux 漏洞 sys:Windows 漏洞 cms:WebCMS 漏洞 app:应用漏洞 emg:应急漏洞 sca:软件成分分析 cve NntfCount integer 修复优先级为 低的漏洞的数量。59 RaspDefend integer 支持 RASP 实时防护,取值:0:不支持 1:支持 ...
漏洞CVE-2022-0492公告
近日Linux社区公布了一个新的内核高危漏洞CVE-2022-0492。该漏洞能够用于主机提权,并绕过命名空间隔离限制。在某些条件下,可以用于容器提权和逃逸。CVE-2022-0492漏洞被评估为高危漏洞,在CVSS的评分为 7.0。影响范围 该漏洞影响v2.6.24-...
CVE-2023-27496漏洞公告
本文介绍CVE-2023-27496漏洞的影响范围、漏洞影响和防范措施。关于CVE-2023-27496漏洞和OAuth过滤器的详细描述,请参见 CVE-2023-27496 和 OAuth过滤器。影响范围 同时满足以下两个条件,授权策略会受此漏洞影响:ASM实例的版本为1.16.4...
【安全漏洞通告】EDAS客户机中fastjson安全漏洞通告及...
近日,阿里云应急响应中心监测到fastjson爆发新的反序列化远程代码执行漏洞,黑客利用漏洞,可绕过autoType限制,直接远程执行任意命令攻击服务器,风险极大。请参照下面的公告内容升级EDAS客户机(导入到EDAS中的ECS)中使用到fastjson...
CVE-2023-27488漏洞公告
本文介绍CVE-2023-27488漏洞的影响范围、漏洞影响和防范措施。关于CVE-2023-27488漏洞的详细描述,请参见 CVE-2023-27488。影响范围 同时满足以下三个条件,授权策略会受此漏洞影响:ASM实例的版本为1.16.4以下。使用 基于envoy.ext_authz...
漏洞CVE-2023-2878公告
Kubernetes社区披露了 secrets-store-csi-driver 项目中的安全漏洞CVE-2023-2878。如果您的集群中部署了secrets-store-csi-driver机制开发的密钥凭据同步插件(例如csi-secrets-store-provider-alibabacloud),攻击者可以在一定条件下,...
漏洞CVE-2022-3172公告
近日Kubernetes社区披露了安全漏洞CVE-2022-3172,攻击者可以通过控制聚合(aggregated)API Server将客户端流量重定向到任何URL,导致通过客户端发起的提权攻击或集群内敏感信息的泄露。CVE-2022-3172漏洞被评估为中危漏洞。在CVSS的评分...
漏洞CVE-2021-41103公告
Containerd社区公布了安全漏洞CVE-2021-41103,该漏洞源于Containerd中的缺陷,在容器根目录和一些系统插件中缺少必要的权限约束时,可使一个非特权的主机Linux用户拥有遍历容器文件系统并执行目标程序的权限。本文介绍该漏洞的影响和影响...
CVE-2023-27493漏洞公告
本文介绍CVE-2023-27493漏洞的影响范围、漏洞影响和防范措施。关于CVE-2023-27493漏洞的详细描述,请参见 CVE-2023-27493。影响范围 同时满足以下两个条件,授权策略会受此漏洞影响:ASM实例的版本为1.16.4以下。使用VirtualService API...
漏洞公告|Linux Netfilter本地权限提升漏洞(CVE-2021...
近日,海外研究团队披露出Linux Netfilter本地权限提升漏洞,漏洞编号CVE-2021-22555。该漏洞在kCTF中被用于攻击Kubernetes Pod容器,实现容器逃逸。此漏洞影响较大,阿里云建议您及时自查并修复漏洞。漏洞信息 漏洞编号:CVE-2021-22555 ...
DescribeEmgVulItem-查询应急漏洞信息
查询应急漏洞的详细信息。调试 您可以在OpenAPI Explorer中直接运行该接口,免去您计算签名的困扰。运行成功后,OpenAPI Explorer可以自动生成SDK代码示例。调试 授权信息 下表是API对应的授权信息,可以在RAM权限策略语句的 Action 元素中...
漏洞CVE-2024-3177公告
Kubernetes社区披露了安全漏洞CVE-2024-3177,攻击者可以通过在工作负载的容器定义中使用 envFrom 字段,绕过ServiceAccount准入插件对Secret挂载的限制,从而导致敏感信息泄漏。该漏洞被评估为低危漏洞,在CVSS的评分为 2.7。关于该漏洞的...
漏洞CVE-2022-23648公告
近日Containerd社区公布了一处针对宿主机任意文件的越权读取漏洞,编号为CVE-2022-23648。该漏洞使攻击者可以通过部署特殊配置的恶意镜像,绕过Pod Security Policy等安全机制的约束获取宿主机上的敏感信息。CVE-2022-23648漏洞被评估为中...
漏洞CVE-2022-31030公告
近日Containerd社区披露了CRI实现中的漏洞,在调用ExecSync API时,容器内的程序可以不受约束地消耗内存,从而导致Containerd消耗容器所在节点的所有可用内存,完成DoS攻击。在K8s Probe和容器Lifecycle Hooks中的exec机制均可触发该攻击。...
CVE-2020-11080漏洞公告
Nghttp2 1.41.0之前版本中存在安全漏洞。攻击者可借助恶意的客户端构建14400字节长度的SETTINGS帧利用该漏洞造成拒绝服务。Istio中的Sidecar代理Envoy使用了该HTTP2库,并存在该漏洞。本文介绍CVE-2020-11080漏洞的影响范围和防范措施。...
漏洞CVE-2024-21626公告
runc社区披露了高危安全漏洞CVE-2024-21626,攻击者可以利用该漏洞越权访问宿主机文件或执行二进制程序,关于该漏洞的详细信息,请参见runc社区公告 GHSA-xr7r-f8xq-vfvv。建议您及时更新修复。影响范围 runc版本影响范围:≥1.1.0,≤1.1....
漏洞公告|Windows TCP/IP远程执行代码漏洞(CVE-2020-...
漏洞信息 漏洞编号:CVE-2020-16898 漏洞评级:严重 影响范围:Windows Server 2019 Windows Server 2019(Server Core installation)Windows Server,version 1903(Server Core installation)Windows Server,version 1909(Server Core ...
漏洞CVE-2021-25745公告
CVE-2021-25745漏洞被评估为高危漏洞,在CVSS的评分为 7.6。影响范围 低于v1.2.0版本的Ingress-nginx组件均在漏洞影响范围内。Kubernetes社区在以下版本的Ingress-nginx组件中修复了该漏洞:v1.2.0-beta.0 v1.2.0 关于该漏洞的详细信息,请...
漏洞CVE-2023-30840公告
Fluid社区披露了安全漏洞CVE-2023-30840。攻击者在获得fluid-csi-plugin的节点root权限的前提下,可以对Kubernetes集群进行提权攻击。CVE-2023-30840漏洞被评估为中危漏洞,在CVSS的评分为4.0。关于该漏洞的详细信息,请参见 漏洞CVE-2023-...
漏洞CVE-2021-25748公告
近日Kubernetes Ingress-Nginx社区披露了安全漏洞CVE-2021-25748,攻击者可以通过定制化Ingress实例中的指定字段获取Nginx Ingress Controller的密钥凭证,从而越权获取集群中Secret实例等敏感信息。CVE-2021-25748漏洞被评估为高危漏洞,...
漏洞CVE-2020-8562公告
K8s社区披露了编号为CVE-2020-8562的安全漏洞。攻击者可以通过某种方式绕过API Server对内网Proxy请求的IP限制,访问到集群内网中的ControlPlane管控组件,从而造成越权访问的问题。本文介绍该漏洞的影响和影响范围,以及防范措施。CVE-...
漏洞CVE-2021-25746公告
近日Kubernetes Ingress-Nginx社区披露了安全漏洞CVE-2021-25746,攻击者可以通过定制化Ingress实例中 metadata.annotations 字段获取Nginx Ingress Controller的密钥凭证,从而越权获取集群中Secret实例等敏感信息。CVE-2021-25746漏洞被...
漏洞CVE-2022-3294公告
近日Kubernetes社区披露了安全漏洞CVE-2022-3294,攻击者可以通过修改Node对象并向其发送代理请求,利用kube-apiserver中的缺陷绕过关于节点代理地址的校验,并访问APIServer所在私有网络内可能的服务端点。CVE-2022-3294漏洞被评估为中危...
CVE-2021-31920漏洞公告
Istio包含了一个可远程利用的漏洞。当使用基于路径的授权规则时,具有多个斜杠或转义的斜杠字符(%2F或%5C)的HTTP请求路径可能会绕过Istio授权策略,导致授权失败。本文介绍CVE-2021-31920漏洞的影响范围以及防范措施。关于CVE-2021-31920...
供应链漏洞验收及奖励标准
漏洞名称 白帽子自定义漏洞名称,尽量包含漏洞关键字等信息。如:PHPTEST v1.0.0前台无限制GetShell。收集的漏洞类型 我们关注的漏洞类型,包括:XSS跨站、SQL注入、XXE、命令执行、文件包含、任意文件操作、权限绕过、存在后门、文件上传...
CVE-2020-8663漏洞公告
本文介绍CVE-2020-8863漏洞的影响范围和防范措施。详情请参见 Isito官网。影响范围 以下版本在此漏洞影响范围内:Istio1.5.x版本:1.5.0到1.5.6。Istio1.6.x版本:1.6.0到1.6.3。防范措施 对于Istio 1.5.x版本:升级到1.5.7。对于Istio 1.6...
漏洞CVE-2023-51699公告
近期,Fluid社区披露了安全漏洞CVE-2023-51699。攻击者在获得创建和修改Dataset和JuiceFSRuntime权限的前提下,通过修改其CRD资源,可能对JuiceFSRuntime所部署的工作节点产生潜在的提权安全风险。CVE-2023-51699漏洞被评估为中危漏洞,...
- 产品推荐
- 这些文档可能帮助您