严重漏洞:Requests库存在.netrc凭据泄露风险
2025-06-03
Python的Requests库(广泛用于网络请求)被发现存在严重安全漏洞(CVE-2024-47081)。攻击者可利用特定API调用,导致存储在.netrc文件中的凭据泄露给第三方。该漏洞源于库对URL的处理方式,早在2024年9月就已报告,但至今仍未修复。目前建议用户在每次API调用中显式指定凭据以作为临时解决方案。
阅读更多
Ubuntu 24.04用户命名空间限制的三种绕过方法
2025-03-29
Qualys安全团队发现了Ubuntu 24.04中未特权用户命名空间限制的三种绕过方法。攻击者可利用默认安装的工具(如aa-exec、busybox)或通过LD_PRELOAD技术,在命名空间内获得管理员权限,从而绕过安全限制,这引发了对系统安全性的担忧。该漏洞利用了AppArmor配置文件中允许创建具有完全功能的命名空间的程序,从而使攻击者能够利用需要CAP_SYS_ADMIN或CAP_NET_ADMIN等权限的内核漏洞。
阅读更多
开发
用户命名空间
Python官方文档中存在XSS漏洞示例
2025-02-23
近日,安全研究员Georgi Guninski发现Python 3.12官方文档中CGI模块的示例代码存在严重的跨站脚本(XSS)漏洞。该漏洞源于直接输出用户提交的表单数据,未进行任何安全过滤。此问题可能对Python Web开发造成广泛影响,甚至可能导致类似ChatGPT和Deepseek等AI生成的代码也存在安全隐患。虽然Python 3.13已移除CGI模块,但大量的遗留代码仍可能面临风险。
阅读更多
开发
全披露邮件列表2024年5月5日
2024-05-09
全披露邮件列表是一个在线论坛,专注于披露信息安全漏洞和威胁。该论坛由安全研究人员和专家社区维护,提供了一个平台来共享有关漏洞、威胁和安全事件的信息。论坛还设有专门讨论安全工具、技术和最佳实践的讨论区。
阅读更多
73