ClickHouse DBMS中发现7个RCE和DoS漏洞
2022年3月15日
JFrog安全研究团队不断监控开源项目,以发现新的漏洞或恶意软件包,并与更广泛的社区分享,以帮助改善其整体安全状况。作为这项工作的一部分,该团队最近在ClickHouse中发现了七个新的安全漏洞,ClickHouse是一个广泛使用的开源数据库管理系统(DBMS),专门用于…
JFrog披露了PJSIP -一个流行的多媒体库中的5个内存损坏漏洞
2022年3月1日
22年3月3日更新- JFrog的安全研究团队不断在流行的开源项目中寻找新的和以前未知的安全漏洞,以帮助改善他们的安全状况。作为这项工作的一部分,我们最近在PJSIP(一个由Teluu开发的广泛使用的开源多媒体通信库)中发现了5个安全漏洞。由……
CVE-2021-44521:利用Apache Cassandra用户定义函数进行远程代码执行
2022年2月15日
JFrog的安全研究团队最近披露了Apache Cassandra中的RCE(远程代码执行)问题,该问题已被分配给CVE-2021-44521 (CVSS 8.4)。这个Apache安全漏洞很容易被利用,并且有可能对系统造成严重破坏,但幸运的是,它只出现在Cassandra的非默认配置中。Cassandra是一个高度可扩展的分布式…
JNDI反击- H2数据库控制台中未经身份验证的RCE
2022年1月6日
最近,JFrog安全研究团队披露了H2数据库控制台的一个问题,该问题被发布了一个关键的CVE-2021-42392。这个问题与臭名昭著的Log4Shell漏洞有相同的根本原因…
TensorFlow Python代码注入:更多eval()问题
2021年11月16日
JFrog安全研究团队(前身为Vdoo)最近披露了TensorFlow(一种在业界广泛使用的流行机器学习平台)附带的一个实用程序中的代码注入问题。该问题已分配给CVE-2021-41228。在我们之前的博客文章中,可以阅读更多关于我们之前在Yamale的类似披露。…
解锁BusyBox - Claroty和JFrog发现的14个新漏洞
2021年11月9日
内存和存储资源有限的嵌入式设备可能会利用BusyBox这样的工具,BusyBox被营销为嵌入式Linux的瑞士军刀。2022世界杯阿根廷预选赛赛程BusyBox是一个软件套件,包含许多有用的Unix实用程序,称为applet,它们被打包为单个可执行文件。在BusyBox中,您可以找到…
CVE-2021-37136和CVE-2021-37137 - Netty解压器中的拒绝服务(DoS)
2021年10月26日
JFrog安全研究团队最近披露了Netty中的两个拒绝服务问题(CVE-2021-37136、CVE-2021-37137), Netty是一个流行的客户端/服务器框架,可以快速轻松地开发协议服务器和客户端等网络应用程序。在这篇文章中,我们将详细阐述其中一个问题——CVE-2021-37136。谁真正受到了影响?网状的……
CVE-2020-27304 - RCE通过目录遍历在CivetWeb HTTP服务器
2021年10月19日
JFrog最近披露了CivetWeb中的一个目录遍历问题。CivetWeb是一个非常流行的嵌入式web服务器/库,既可以作为独立的web服务器使用,也可以作为库包含在现有应用程序中以添加web服务器功能。该问题已分配给CVE-2020-27304。这个目录遍历问题是高度可利用的…
23andMe的Yamale Python代码注入,并正确消毒eval()
2021年10月5日
JFrog安全研究团队(以前是Vdoo)最近披露了Yamale中的一个代码注入问题,Yamale是一个流行的YAML模式验证器,被200多个存储库使用。该问题已分配给CVE-2021-38305。注入问题攻击者可以控制提供给Yamale的模式文件的内容(-s/ -schema命令…)
今年10月与JFrog一起获得Cybersmart
2021年10月5日
我们生活在一个设备互联程度越来越高的世界——手机、数字助理、智能手表、汽车、恒温器、冰箱、风车等等。根据世界经济论坛(world Economic Forum)的数据,目前全球超过50%的人口上网,三分之二的人拥有移动设备。此外,当今应用程序的代码库通常主要由开源组成……
