undici是Node.js開源的一個(gè)HTTP/1.1客戶端。 Undici 4.5.0版本、5.28.5之前版本、6.21.1版本和7.2.3版本存在安全特征問題漏洞，該漏洞源于使用可預(yù)測(cè)的Math.random生成multipart/form-data請(qǐng)求的邊界，允許攻擊者在特定條件下篡改請(qǐng)求。

Podman是Podman開源的一款用于在Linux系統(tǒng)上開發(fā)、管理和運(yùn)行OCI容器的引擎。 Podman存在路徑遍歷漏洞，該漏洞源于存在符號(hào)鏈接遍歷漏洞，可能導(dǎo)致庫讀取主機(jī)上的任意文件。

Buildah是Buildah開源的一款支持構(gòu)建OCI容器映像的工具。 Buildah存在路徑遍歷漏洞，該漏洞源于緩存掛載沒有正確驗(yàn)證用戶指定的緩存路徑是否在我們的緩存目錄中，允許容器文件中的RUN指令將主機(jī)中的任意目錄掛載到容器中。

Google Go是美國谷歌（Google）公司的一種靜態(tài)強(qiáng)類型、編譯型、并發(fā)型，并具有垃圾回收功能的編程語言。 Google Go存在輸入驗(yàn)證錯(cuò)誤漏洞，該漏洞源于系統(tǒng)未正確驗(yàn)證輸入，從而允許用戶將任意參數(shù)傳遞給mount指令。

Google Go是美國谷歌（Google）公司的一種靜態(tài)強(qiáng)類型、編譯型、并發(fā)型，并具有垃圾回收功能的編程語言。 Google Go存在后置鏈接漏洞，該漏洞源于驗(yàn)證不當(dāng)，容器運(yùn)行時(shí)可能會(huì)錯(cuò)誤地處理某些文件路徑，允許攻擊者利用符號(hào)鏈接并誘騙系統(tǒng)在容器內(nèi)掛載敏感的主機(jī)目錄。

在 Kubernetes 的 Windows 節(jié)點(diǎn)中發(fā)現(xiàn)了一個(gè)漏洞。該漏洞允許能夠查詢節(jié)點(diǎn) /logs 端點(diǎn)的用戶在主機(jī)上執(zhí)行任意命令。

go-retryablehttp是HashiCorp開源的一個(gè) Go 中的可重試 HTTP 客戶端。 Hashicorp go-retryablehttp 0.7.7之前版本存在安全漏洞，該漏洞源于在將 URL 寫入日志文件時(shí)未對(duì)其進(jìn)行清理，導(dǎo)致將敏感的 HTTP 基本身份驗(yàn)證憑據(jù)寫入日志文件。

libarchive是libarchive開源的一款多格式存檔和壓縮庫。 libarchive 3.7.7及之前版本存在安全漏洞，該漏洞源于錯(cuò)誤處理了GNU長(zhǎng)鏈接名中間的截?cái)啵嬖诨诙训木彌_區(qū)過度讀取。

Google Go是美國谷歌（Google）公司的一種靜態(tài)強(qiáng)類型、編譯型、并發(fā)型，并具有垃圾回收功能的編程語言。 Google Go存在安全漏洞，該漏洞源于通過新GOAUTH功能提供的憑據(jù)未按域正確分段，從而允許惡意服務(wù)器請(qǐng)求他們不應(yīng)訪問的憑據(jù)。

Certifi是Certifi開源的一個(gè) Python SSL 證書。 Certifi 2024.07.04之前版本存在安全漏洞，該漏洞源于存在合規(guī)性問題，認(rèn)可來自GLOBALTRUST的根證書。

image是一組 Go 庫，旨在以各種方式處理容器映像和容器映像注冊(cè)表。 image 存在安全漏洞，該漏洞源于image庫中發(fā)現(xiàn)了一個(gè)缺陷。 攻擊者利用該漏洞可以進(jìn)行資源耗盡、本地路徑遍歷和其他攻擊。

X.org Server是X.org基金會(huì)的一個(gè)開放源代碼的自由軟件。 X.org server存在安全漏洞，該漏洞源于ProcAppleDRICreatePixmap函數(shù)存在緩沖區(qū)溢出漏洞。

Podman是Podman開源的一款用于在Linux系統(tǒng)上開發(fā)、管理和運(yùn)行OCI容器的引擎。 Podman 5.0.0-dev及之前版本存在資源管理錯(cuò)誤漏洞，該漏洞源于允許攻擊者通過創(chuàng)建大量IPC資源來耗盡系統(tǒng)的內(nèi)存資源，從而導(dǎo)致拒絕服務(wù)。

jose是用于 JSON 對(duì)象簽名和加密的 JavaScript 模塊。 jose 4.0.1之前、3.0.3之前、2.6.3之前版本存在安全漏洞，該漏洞源于攻擊者可以發(fā)送包含壓縮數(shù)據(jù)的 JWE，這些數(shù)據(jù)在通過 Decrypt 或 DecryptMulti 解壓縮時(shí)會(huì)使用大量?jī)?nèi)存和 CPU。

jose是用于 JSON 對(duì)象簽名和加密的 JavaScript 模塊。 jose 2.0.7 和 4.15.5 之前版本存在安全漏洞，該漏洞源于允許攻擊者通過特制的帶有壓縮明文的 JWE 耗盡資源。