在SPICE遠(yuǎn)程顯示系統(tǒng)QUIC圖像解碼過(guò)程中發(fā)現(xiàn)多個(gè)緩沖區(qū)溢出漏洞。SPICE客戶機(jī)(SPICE -gtk)和服務(wù)器都受到這些缺陷的影響。這些缺陷允許惡意客戶端或服務(wù)器發(fā)送經(jīng)過(guò)QUIC圖像壓縮算法處理的特別制作的消息，這些消息會(huì)導(dǎo)致進(jìn)程崩潰或潛在的代碼執(zhí)行。

VelocityView的默認(rèn)錯(cuò)誤頁(yè)面在Apache Velocity工具3.1之前反映的vm文件進(jìn)入作為URL的一部分。攻擊者可以XSS有效負(fù)載文件設(shè)置為這個(gè)虛擬機(jī)文件的URL在這個(gè)負(fù)載被執(zhí)行結(jié)果。XSS漏洞允許攻擊者攻擊網(wǎng)站的上下文中執(zhí)行任意JavaScript和攻擊用戶。這可以濫用竊取會(huì)話cookie,執(zhí)行請(qǐng)求的名稱或釣魚(yú)攻擊受害者。

Apache Velocity Engine versions up to 2.2 存在安全漏洞，攻擊者可利用該漏洞執(zhí)行任意Java代碼或運(yùn)行任意系統(tǒng)命令。

Apache Batik 1.13服務(wù)器端請(qǐng)求偽造是脆弱的,由NodePickerPanel不當(dāng)造成的輸入驗(yàn)證。通過(guò)使用一個(gè)特制的論點(diǎn),攻擊者可以利用此漏洞導(dǎo)致底層服務(wù)器進(jìn)行任意的GET請(qǐng)求。

Resteasy中存在跨站腳本漏洞。該漏洞源于WEB應(yīng)用缺少對(duì)客戶端數(shù)據(jù)的正確驗(yàn)證。攻擊者可利用該漏洞執(zhí)行客戶端代碼。

libexif是一個(gè)使用C語(yǔ)言編寫(xiě)的函數(shù)庫(kù)。該產(chǎn)品主要用于從圖形文件中讀寫(xiě)EXIF元信息。 libexif存在輸入驗(yàn)證錯(cuò)誤漏洞，攻擊者可以通過(guò)編譯器對(duì)libexif的優(yōu)化來(lái)觸發(fā)緩沖區(qū)溢出，從而觸發(fā)拒絕服務(wù)，并可能運(yùn)行代碼。

Media Framework是其中的一個(gè)多媒體開(kāi)發(fā)框架。Android 10版本中的Media Framework存在安全漏洞。攻擊者可利用該漏洞造成拒絕服務(wù)。

Media Framework是其中的一個(gè)多媒體開(kāi)發(fā)框架。Android 10版本中的Media Framework存在安全漏洞。攻擊者可利用該漏洞造成拒絕服務(wù)。

Hibernate 5.3.18之前版本、5.4.18之前版本和5.5.0.Beta1之前版本中的JPA Criteria API的實(shí)現(xiàn)存在SQL注入漏洞。攻擊者可利用該漏洞訪問(wèn)未授權(quán)的信息或進(jìn)行進(jìn)一步的攻擊。

在Hibernate驗(yàn)證程序中發(fā)現(xiàn)漏洞。SafeHtml驗(yàn)證程序批注無(wú)法正確清理由HTML注釋和指令中潛在惡意代碼組成的有效負(fù)載。此漏洞可能導(dǎo)致XSS攻擊。

在org.codehaus.jackson:jackson-mapper-asl:1.9.x庫(kù)中發(fā)現(xiàn)了一個(gè)缺陷。類似CVE-2016-3720的XML外部實(shí)體漏洞也會(huì)影響codehaus jackson-mapper-asl庫(kù)，但是在不同的類中。

這是在9.2.0前Infinispan Hotrod客戶機(jī)中發(fā)現(xiàn)的。CR1將不安全的從緩存中讀取序列化的數(shù)據(jù)信息。一個(gè)經(jīng)過(guò)驗(yàn)證的攻擊者可以注入惡意對(duì)象數(shù)據(jù)在客戶端緩存和達(dá)到反序列化,并可能進(jìn)一步攻擊。

infinispan 9.1.0之前hotrod java客戶機(jī)。最后在某些事件中bytearray消息內(nèi)容自動(dòng)反序列化。惡意用戶可以利用這個(gè)漏洞注射特制序列化對(duì)象實(shí)現(xiàn)遠(yuǎn)程代碼執(zhí)行或進(jìn)行其他攻擊。

vorbis-tools是一套Ogg（一種音頻壓縮格式）vorbis工具。 vorbis-tools 1.4.0版本的oggenc/oggenc.c文件存在安全漏洞。遠(yuǎn)程攻擊者可借助特制的raw文件利用該漏洞造成拒絕服務(wù)（越邊界讀?。?。

在1.0.1之前的libwebp中發(fā)現(xiàn)了一個(gè)缺陷。由于線程過(guò)早終止，發(fā)現(xiàn)了空閑后使用。來(lái)自該漏洞的最大威脅是數(shù)據(jù)機(jī)密性和完整性以及系統(tǒng)可用性。