libvirt是一個(gè)用于實(shí)現(xiàn)Linux虛擬化功能的Linux API，它支持各種Hypervisor，包括Xen和KVM，以及QEMU和用于其他操作系統(tǒng)的一些虛擬產(chǎn)品。Libvirt API 存在安全漏洞，該漏洞源于libvirt API中存在一個(gè)缺失的授權(quán)缺陷，這個(gè)缺陷允許只讀連接調(diào)整libvirt等待QEMU客戶代理響應(yīng)代理命令的時(shí)間。根據(jù)所設(shè)置的超時(shí)值，這個(gè)缺陷會(huì)使客戶機(jī)代理命令失敗，因?yàn)榇聿荒芗皶r(shí)響應(yīng)，可能導(dǎo)致拒絕服務(wù)。

Ruby JSON gem是一款基于Ruby的用于從文本解析JSON以及從Ruby對(duì)象生成JSON文本的軟件包。Ruby JSON gem 2.2.0及之前版本（使用在Ruby 2.4版本至2.4.9版本、2.5版本至2.5.7版本和2.6版本至2.6.5版本）中存在安全漏洞。攻擊者可利用該漏洞在目標(biāo)系統(tǒng)中強(qiáng)制創(chuàng)建任意對(duì)象。

PHP（PHP：Hypertext Preprocessor，PHP：超文本預(yù)處理器）是PHPGroup和開放源代碼社區(qū)的共同維護(hù)的一種開源的通用計(jì)算機(jī)腳本語言。該語言主要用于Web開發(fā)，支持多種數(shù)據(jù)庫及操作系統(tǒng)。PHP中的‘xmlrpc_decode()’函數(shù)存在安全漏洞。攻擊者可利用該漏洞讀取所分配內(nèi)存之外的內(nèi)存。以下版本受到影響：PHP 5.6.40之前版本，7.1.26之前的7.x版本，7.2.14之前的7.2.x版本，7.3.1之前的7.3.x版本。

Mozilla Firefox等都是美國(guó)Mozilla基金會(huì)的產(chǎn)品。Mozilla Firefox是一款開源Web瀏覽器。Mozilla Firefox ESR是Firefox(Web瀏覽器)的一個(gè)延長(zhǎng)支持版本。Mozilla Thunderbird是一套從Mozilla Application Suite獨(dú)立出來的電子郵件客戶端軟件。Mozilla Firefox 73版本、Firefox ESR 68.5版本和Thunderbird 68.5版本中存在安全漏洞。攻擊者可利用該漏洞造成內(nèi)存損壞或可能執(zhí)行任意代碼。

Mozilla Thunderbird是美國(guó)Mozilla基金會(huì)的一套從Mozilla Application Suite獨(dú)立出來的電子郵件客戶端軟件。該軟件支持IMAP、POP郵件協(xié)議以及HTML郵件格式。Mozilla Thunderbird 68.6之前版本、Firefox 74之前版本和Firefox ESR 68.6之前版本中存在命令注入漏洞，該漏洞源于Devtools網(wǎng)絡(luò)標(biāo)簽的‘Copy as cURL’功能沒有正確轉(zhuǎn)義網(wǎng)站所控制的數(shù)據(jù)。攻擊者可利用該漏洞注入并執(zhí)行命令。

Ansible是一款計(jì)算機(jī)系統(tǒng)配置管理器。該產(chǎn)品可用于發(fā)布、管理和編排計(jì)算機(jī)系統(tǒng)。Ansible Tower是其中的一個(gè)提供了用戶界面（UI）、儀表板和REST API的任務(wù)控制應(yīng)用程序。Ansible engine是其中的一個(gè)Ansible引擎。Ansible pipe lookup插件中存在操作系統(tǒng)命令注入漏洞。攻擊者可利用該漏洞執(zhí)行任意命令。

FasterXML jackson-databind是一個(gè)基于JAVA可以將XML和JSON等數(shù)據(jù)格式與JAVA對(duì)象進(jìn)行轉(zhuǎn)換的庫。Jackson可以輕松的將Java對(duì)象轉(zhuǎn)換成json對(duì)象和xml文檔，同樣也可以將json、xml轉(zhuǎn)換成Java對(duì)象。 FasterXML jackson-databind 2.9.10.4之前的2.x版本中存在代碼問題漏洞。攻擊者可借助特制的請(qǐng)求利用該漏洞在系統(tǒng)上執(zhí)行任意代碼。

Linux kernel是美國(guó)Linux基金會(huì)發(fā)布的開源操作系統(tǒng)Linux所使用的內(nèi)核。Linux kernel 5.6.10及之前版本中的fs/xfs/libxfs/xfs_alloc.c文件的xfs_agf_verify存在安全漏洞。攻擊者可利用該漏洞造成同步時(shí)間過長(zhǎng)。

Apache Tomcat是美國(guó)阿帕奇（Apache）軟件基金會(huì)的一款輕量級(jí)Web應(yīng)用服務(wù)器。該程序?qū)崿F(xiàn)了對(duì)Servlet和JavaServer Page（JSP）的支持。Apache Tomcat 9.0.28版本至9.0.30版本、8.5.48版本至8.5.50版本和7.0.98版本至7.0.99版本中存在安全漏洞，該漏洞源于程序沒有正確處理無效的Transfer-Encoding標(biāo)頭。攻擊者可利用該漏洞造成Web緩存中毒，繞過Web應(yīng)用程序防火墻保護(hù)及實(shí)施跨站腳本攻擊。

SQLite是美國(guó)D.Richard Hipp（D.richard Hipp）個(gè)人開發(fā)者的一套基于C語言的開源嵌入式關(guān)系數(shù)據(jù)庫管理系統(tǒng)。該系統(tǒng)具有獨(dú)立性、隔離性、跨平臺(tái)等特點(diǎn)。SQLite 3.31.1版本中的isAuxiliaryVtabOperator存在代碼問題漏洞。該漏洞源于網(wǎng)絡(luò)系統(tǒng)或產(chǎn)品的代碼開發(fā)過程中存在設(shè)計(jì)或?qū)崿F(xiàn)不當(dāng)?shù)膯栴}。

libvirt是一個(gè)用于實(shí)現(xiàn)Linux虛擬化功能的Linux API，它支持各種Hypervisor，包括Xen和KVM，以及QEMU和用于其他操作系統(tǒng)的一些虛擬產(chǎn)品。libvirt 4.10.0版本至6.x版本（6.1.0版本已修改）中的‘qemuDomainGetStatsIOThread’函數(shù)存在安全漏洞。攻擊者可利用該漏洞造成拒絕服務(wù)（內(nèi)存泄露）。

PostgreSQL是Postgresql組織的一套自由的對(duì)象關(guān)系型數(shù)據(jù)庫管理系統(tǒng)。該系統(tǒng)支持大部分SQL標(biāo)準(zhǔn)并且提供了許多其他特性，例如外鍵、觸發(fā)器、視圖等。PostgreSQL中的‘ALTER ... DEPENDS ON EXTENSION’存在安全漏洞，該漏洞源于子命令未執(zhí)行授權(quán)檢查。攻擊者可利用該漏洞刪除對(duì)象（如函數(shù)、觸發(fā)器等），進(jìn)而導(dǎo)致數(shù)據(jù)庫損壞。以下產(chǎn)品及版本受到影響：PostgreSQL 12.2之前版本，11.7之前版本，10.12之前版本，9.6.17之前版本。

Podman是一款用于在Linux系統(tǒng)上開發(fā)、管理和運(yùn)行OCI容器的引擎。Podman 1.6.0版本中存在授權(quán)問題漏洞。該漏洞源于網(wǎng)絡(luò)系統(tǒng)或產(chǎn)品中缺少身份驗(yàn)證措施或身份驗(yàn)證強(qiáng)度不足。

urllib3是一款Python HTTP庫。該產(chǎn)品具有線程安全連接池、文件發(fā)布支持等。urllib3 1.25.9之前版本存在注入漏洞。該漏洞源于可以在putrequest()的第一個(gè)參數(shù)中插入CR和LF控制字符。

urllib3是一款Python HTTP庫。該產(chǎn)品具有線程安全連接池、文件發(fā)布支持等。urllib3 1.25.9之前版本存在注入漏洞。該漏洞源于可以在putrequest()的第一個(gè)參數(shù)中插入CR和LF控制字符。