| CVE编号 | 安全级别 | 描述 | 系统类型 | 发布时间 | |
|---|---|---|---|---|---|
| 2596 | CVE-2020-35738 | 中等 |
WavPack是一套开源的、免费的音频无损压缩软件。WavPack存在缓冲区错误漏洞,该漏洞源于malloc参数中有一个整数溢出。
|
服务器操作系统 | 2021-10-15 |
| 2597 | CVE-2020-29363 | 中等 |
P11-glue P11-kit是P11-glue个人开发者的一个用于加载和枚举PKCS模块的工具软件。P11-glue P11-kit server/remote 0.23.6版本至0.23.21版本存在缓冲区错误漏洞,该漏洞源于RPC协议中发现了基于堆的缓冲区溢出,当远程实体在CK_ATTRIBUTE中提供序列化的字节数组时,接收实体可能没有为缓冲区分配足够的长度来存储反序列化的值。
|
服务器操作系统 | 2021-10-15 |
| 2598 | CVE-2020-29362 | 中等 |
P11-glue P11-kit server/remote 存在缓冲区错误漏洞,该漏洞源于使用的RPC协议中发现了基于堆的缓冲区超读。当远程实体通过序列化的PKCS#11函数调用提供字节数组时,接收实体可能允许读取超过堆分配的最多4个字节的内存。
|
服务器操作系统 | 2021-10-15 |
| 2599 | CVE-2020-29361 | 中等 |
P11-glue P11-kit是P11-glue个人开发者的一个用于加载和枚举PKCS模块的工具软件。P11-glue P11-kit 0.21.1到0.23.21版本中存在输入验证错误漏洞,目前尚无此漏洞的相关信息,请随时关注CNNVD或厂商公告。
|
服务器操作系统 | 2021-10-15 |
| 2600 | CVE-2020-27824 | 低等 |
OpenJPEG是一款基于C语言的开源JPEG2000编码解码器。OpenJPEG 存在缓冲区错误漏洞,该漏洞源于opj_dwt_calc_explicit_stepsizes函数。攻击者可利用该漏洞可以通过opj dwt计算OpenJPEG的显式stepsizes()来触发缓冲区溢出,以触发拒绝服务,并可能运行代码。
|
服务器操作系统 | 2021-10-15 |
| 2601 | CVE-2020-27823 | 中等 |
OpenJPEG是一款基于C语言的开源JPEG2000编码解码器。OpenJPEG 存在缓冲区错误漏洞,该漏洞源于攻击者可利用该漏洞可以通过opj tcd dc level shift encode()触发缓冲区溢出,以触发拒绝服务,并可能运行代码。
|
服务器操作系统 | 2021-10-15 |
| 2602 | CVE-2020-24455 | 低等 |
tpm2-tss 存在安全漏洞,该漏洞源于缺少变量的初始化,允许有特权的用户通过本地访问潜在地启用特权升级。
|
服务器操作系统 | 2021-10-15 |
| 2603 | CVE-2020-14355 | 重要 |
在SPICE远程显示系统QUIC图像解码过程中发现多个缓冲区溢出漏洞。SPICE客户机(SPICE -gtk)和服务器都受到这些缺陷的影响。这些缺陷允许恶意客户端或服务器发送经过QUIC图像压缩算法处理的特别制作的消息,这些消息会导致进程崩溃或潜在的代码执行。
|
服务器操作系统 | 2021-10-15 |
| 2604 | CVE-2020-14093 | 中等 |
Mutt 1.14.3之前版本中存在安全漏洞。攻击者可借助PREAUTH响应利用该漏洞进行中间人攻击。
|
服务器操作系统 | 2021-10-15 |
| 2605 | CVE-2020-13959 | 中等 |
VelocityView的默认错误页面在Apache Velocity工具3.1之前反映的vm文件进入作为URL的一部分。攻击者可以XSS有效负载文件设置为这个虚拟机文件的URL在这个负载被执行结果。XSS漏洞允许攻击者攻击网站的上下文中执行任意JavaScript和攻击用户。这可以滥用窃取会话cookie,执行请求的名称或钓鱼攻击受害者。
|
服务器操作系统 | 2021-10-15 |
| 2606 | CVE-2020-13936 | 重要 |
Apache Velocity Engine versions up to 2.2 存在安全漏洞,攻击者可利用该漏洞执行任意Java代码或运行任意系统命令。
|
服务器操作系统 | 2021-10-15 |
| 2607 | CVE-2020-11987 | 中等 |
Apache Batik 1.13服务器端请求伪造是脆弱的,由NodePickerPanel不当造成的输入验证。通过使用一个特制的论点,攻击者可以利用此漏洞导致底层服务器进行任意的GET请求。
|
服务器操作系统 | 2021-10-15 |
| 2608 | CVE-2019-18281 | 低等 |
Qt qtbase 中的qtextengine.cpp文件的‘generateDirectionalRuns()’函数存在缓冲区错误漏洞。该漏洞源于网络系统或产品在内存上执行操作时,未正确验证数据边界,导致向关联的其他内存位置上执行了错误的读写操作。攻击者可利用该漏洞导致缓冲区溢出或堆溢出等。
|
服务器操作系统 | 2021-10-15 |
| 2609 | CVE-2021-41092 | 中等 |
Docker是美国Docker公司的一款开源的应用容器引擎。该产品支持在Linux系统上创建一个容器(轻量级虚拟机)并部署和运行应用程序,以及通过配置文件实现应用程序的自动化安装、部署和升级。Docker CLI 存在信息泄露漏洞,该漏洞源于在 Docker CLI 中发现了一个错误,其中运行 docker login my-private-registry.example.com并带有一个错误配置的配置文件(通常是 ~/.docker/config.json),其中列出了 credsStore 或 credHelpers 无法执行将导致任何提供的凭据被发送到registry-1.docker.io而不是预期的私有注册表。
|
服务器操作系统 | 2021-10-04 |
| 2610 | CVE-2021-41091 | 中等 |
Moby是一个开源项目,旨在推动软件的容器化,并帮助生态系统使容器技术主流化。Moby 存在安全漏洞,该漏洞源于在Moby (Docker Engine)中发现了一个bug,数据目录(通常是var lib Docker )包含的子目录权限没有受到足够的限制,允许没有特权的Linux用户遍历目录内容和执行程序。攻击者可利用该漏洞当容器包含具有扩展权限位(如setuid )的可执行程序时,没有特权的Linux用户可以发现并执行这些程序。
|
服务器操作系统 | 2021-10-04 |
