Eclipse Jetty 代碼問(wèn)題漏洞，該漏洞源于SessionListener拋出異常。

Eclipse Jetty 中存在信息泄露漏洞,該漏洞源于通過(guò)對(duì)ConcatServlet的雙重編碼路徑請(qǐng)求訪問(wèn)WEB-INF目錄中的受保護(hù)資源。這可能會(huì)泄露有關(guān) Web 應(yīng)用程序?qū)崿F(xiàn)的敏感信息。

在 3.0.5 之前的版本中，OpenEXR 的 ImfDeepScanLineInputFile 功能存在缺陷。能夠?qū)⒕闹谱鞯奈募峤坏脚c OpenEXR 鏈接的應(yīng)用程序的攻擊者可能會(huì)導(dǎo)致越界讀取。此缺陷的最大風(fēng)險(xiǎn)是應(yīng)用程序可用性。

hivex 存在緩沖區(qū)錯(cuò)誤漏洞，該漏洞源于網(wǎng)絡(luò)系統(tǒng)或產(chǎn)品在內(nèi)存上執(zhí)行操作時(shí)，未正確驗(yàn)證數(shù)據(jù)邊界，導(dǎo)致向關(guān)聯(lián)的其他內(nèi)存位置上執(zhí)行了錯(cuò)誤的讀寫(xiě)操作。攻擊者可利用該漏洞導(dǎo)致緩沖區(qū)溢出或堆溢出等。

Apache Tomcat 的 JNDI 領(lǐng)域中的一個(gè)漏洞允許攻擊者使用有效用戶名的變體進(jìn)行身份驗(yàn)證和/或繞過(guò)鎖定領(lǐng)域提供的某些保護(hù)。

2.6.7 之前的 Ruby 中 3.2.5 之前的 REXML gem、2.7.3 之前的 2.7.x 和 3.0.1 之前的 3.x 無(wú)法正確解決 XML 往返問(wèn)題。解析和序列化后可能會(huì)生成不正確的文檔。

EDK II 中 DxeCore 中的無(wú)限遞歸。

在 SQLite 的 SELECT 查詢功能 (src/select.c) 中發(fā)現(xiàn)了一個(gè)缺陷。該缺陷允許能夠在 SQLite 數(shù)據(jù)庫(kù)上本地運(yùn)行 SQL 查詢的攻擊者通過(guò)觸發(fā)釋放后使用來(lái)導(dǎo)致拒絕服務(wù)或可能的代碼執(zhí)行。此漏洞的最大威脅是系統(tǒng)可用性。

Podman中存在訪問(wèn)控制錯(cuò)誤漏洞，該漏洞源于未正確檢查在特權(quán)容器中運(yùn)行的非根用戶的文件權(quán)限。容器中的低權(quán)限用戶可能會(huì)濫用此漏洞來(lái)訪問(wèn)容器中的任何其他文件。

OpenSC是一款開(kāi)源的智能卡工具和中間件。OpenSC存在安全漏洞，該漏洞源于Oberthur智能卡軟件驅(qū)動(dòng)程序在sc Oberthur讀取文件中存在基于堆的緩沖區(qū)溢出。

在 v2.5.2 之前的 OpenEXR 中發(fā)現(xiàn)了一個(gè)問(wèn)題。無(wú)效的 chunkCount 屬性可能導(dǎo)致 IlmImf/ImfMisc.cpp 中 getChunkOffsetTableSize() 中的堆緩沖區(qū)溢出。

在 2.5.2 之前的 OpenEXR 中發(fā)現(xiàn)了一個(gè)問(wèn)題。無(wú)效的輸入可能會(huì)導(dǎo)致 IlmImf/ImfDeepScanLineInputFile.cpp 中的 DeepScanLineInputFile::DeepScanLineInputFile() 中的釋放后使用。

5.4之前版本的PyYAML庫(kù)中發(fā)現(xiàn)了一個(gè)漏洞，當(dāng)它通過(guò)full_load方法或FullLoader加載器處理不受信任的YAML文件時(shí)，容易被任意代碼執(zhí)行。使用該庫(kù)處理不受信任輸入的應(yīng)用程序可能容易受到此缺陷的影響。該漏洞允許攻擊者通過(guò)濫用 python/object/new 構(gòu)造函數(shù)在系統(tǒng)上執(zhí)行任意代碼。此缺陷是由于 CVE-2020-1747 的修復(fù)不完整造成的。

在 2.4.1 之前的 OpenEXR 中發(fā)現(xiàn)了一個(gè)問(wèn)題。 DwaCompressor::Classifier::Classifier 在使用 ImfXdr.h 讀取函數(shù)時(shí)存在一個(gè)差錯(cuò)，導(dǎo)致越界讀取。

在 2.4.1 之前的 OpenEXR 中發(fā)現(xiàn)了一個(gè)問(wèn)題。 ImfMisc.cpp 中的 copyIntoFrameBuffer 中存在越界寫(xiě)入。