Apache Zeppelin shell 代码注入漏洞
Apache Zeppelin是一个开源的交互式数据分析和可视化平台,用户可以使用多种编程语言(如Scala、Python、R等)编写和运行数据分析代码,并实时查看分析结果。Apache Zeppelin shell存在代码注入漏洞,攻击者可利用Zeppelin 中的shell功能执行任意命令。
影响产品:
0.10.1 <= Apache Zeppelin < 0.11.1
Fortinet 推出针对 FortiClient Linux 漏洞的安全补丁
FortiClientLinux 中的代码生成控制不当,允许未经身份验证的攻击者通过欺骗 FortiClientLinux 用户访问恶意网站来执行任意代码。该漏洞的编号为CVE-2023-45590,目前Fortinet已经发布补丁来解决这一漏洞。
影响产品:
FortiClientLinux 版本 7.0.3 至 7.0.4 和 7.0.6 至 7.0.10(升级到 7.0.11 或更高版本)
FortiClientLinux 版本 7.2.0(升级到 7.2.1 或更高版本)
Rust 存在严重漏洞
Rust 标准库中的一个关键安全漏洞可能会被利用来针对 Windows 用户并发起命令注入攻击。在 Windows 上使用 Command API 调用批处理文件(带有 bat 和 cmd 扩展名)时,Rust 标准库没有正确转义参数。能够控制传递给生成进程的参数的攻击者可以通过绕过转义来执行任意 shell 命令。
影响产品:
Rust< 1.77.2
LG 智能电视存在允许 root 访问的漏洞
LG 智能电视上运行的 webOS 已被披露存在多个安全漏洞,这些漏洞可被用来绕过授权并获得设备的 root 访问权限。这使得未经身份验证的攻击者可以利用这个漏洞在托管了WordPress网站的服务器上执行任意代码,最终可能控制服务器。
影响产品:
在 LG43UM7000PLA 上运行的 webOS 4.9.7 - 5.30.40
webOS 5.5.0 - 04.50.51 在 OLED55CXPUA 上运行
webOS 6.3.3-442 (kisscurl-kinglake) - 03.36.50 OLED48C1PUB 上运行
webOS 7.3.1-43 (mullet-mebin) - 03.33.85 在 OLED55A23LA 上运行
Spectre v2攻击影响英特尔CPU上的Linux系统
CVE-2024-2201允许未经身份验证的攻击者通过利用推测性执行来读取任意内存数据,绕过目前旨在隔离特权级别的安全机制。现在建议禁用 eBPF)功能,启用eIBRS,并启用管理员模式执行保护 (SMEP)来缓解Spectre v2攻击。