|
CVE |
CVE-2022-44635 |
|
等级 |
高危 |
|
类型 |
路径遍历 |
Apache Fineract是用于金融服务的开源软件,旨在实现核心银行系统平台化建设。
11月29日,Apache发布安全公告,修复了Apache Fineract中的一个路径遍历漏洞。Apache Fineract的文件上传组件中存在路径遍历漏洞,可能导致经过身份验证的恶意用户远程执行代码。
Apache Fineract <= 1.8.0(分支补丁版本1.7.1不受影响)
目前该漏洞已经修复,受影响的用户可升级到Apache Fineract版本1.7.1 、1.8.1或更高版本。
https://lists.apache.org/thread/t8q6fmh3o6yqmy69qtqxppk9yg9wfybg
https://cwiki.apache.org/confluence/display/FINERACT/Fineract+Project+Security+Report
|
CVE |
CVE-2022-46146 |
|
等级 |
高危 |
|
类型 |
认证绕过 |
Prometheus是一个开源的系统监控和报警系统,现在已经加入到CNCF基金会,成为继k8s之后第二个在CNCF托管的项目,在kubernetes容器管理系统中,通常会搭配prometheus进行监控,同时也支持多种exporter采集数据,还支持pushgateway进行数据上报,Prometheus性能足够支撑上万台规模的集群。
Prometheus Exporter Toolkit是一个用于构建导出器的实用程序包。在0.7.2和0.8.2版本之前,如果有人能够访问Prometheus web.yml文件和用户的bcrypted密码,他们可以通过毒害内置认证缓存来绕过安全。0.7.2和0.8.2版本包含对该问题的修复。没有解决方法,但攻击者必须有机会获得散列的密码才能使用这个功能。
Prometheus < 0.7.2
Prometheus < 0.8.2
官方已发布漏洞补丁,补丁链接:https://github.com/prometheus/exporter-toolkit/commit/5b1eab34484ddd353986bce736cd119d863e4ff5
https://github.com/prometheus/exporter-toolkit/commit/5b1eab34484ddd353986bce736cd119d863e4ff5
本文作者:众至科技
本文为安全脉搏专栏作者发布,转载请注明:https://www.secpulse.com/archives/192729.html
必填 您当前尚未登录。 登录? 注册
必填(保密)