pbkdf2库的`lib/to-buffer.js`文件中存在不当输入验证漏洞,版本3.0.10到3.1.2受影响。攻击者可利用此漏洞进行签名伪造。Harborist公司已评估此漏洞的严重性为关键级别(CVSS-B 9.1)。
阅读更多
Erlang/OTP 的 SSH 服务器中发现了一个危急的安全漏洞 (CVE-2025-32433),允许未经身份验证的远程攻击者执行任意代码。该漏洞存在于 OTP-27.3.3、OTP-26.2.5.11 和 OTP-25.3.2.20 之前的版本中,攻击者可利用 SSH 协议消息处理中的缺陷,在无需凭据的情况下访问并控制受影响的系统。官方已发布补丁,建议用户尽快升级到 OTP-27.3.3、OTP-26.2.5.11 或 OTP-25.3.2.20 及以上版本。
阅读更多
微软Partner Center曝出严重漏洞CVE-2024-49035,未经身份验证的攻击者可利用该漏洞提升网络权限。该漏洞源于不正确的访问控制,已列入CISA已知漏洞目录,要求用户尽快采取补救措施,例如应用微软提供的缓解措施或停止使用该产品。此漏洞的修复截止日期为2025年3月18日。
阅读更多
Linux内核中的mlxsw驱动存在内存泄漏漏洞(CVE-2024-50252)。当更改ip6gre网络设备的远程IPv6地址时,驱动程序未能正确处理旧地址的移除和新地址的添加,导致内存泄漏。该漏洞已在多个Linux内核版本中得到修复,影响版本包括5.17到6.1.116、6.2到6.6.60、6.7到6.11.7以及6.12的rc1、rc2和rc3版本。
阅读更多