在ClickHouse DBMS中发现7个RCE和DoS漏洞
2022年3月15日
JFrog安全研究团队不断监控开源项目,以发现新的漏洞或恶意包,并与更广泛的社区共享,以帮助改善他们的整体安全态势。作为这项工作的一部分,该团队最近在ClickHouse中发现了7个新的安全漏洞,ClickHouse是一个广泛使用的开源数据库管理系统(DBMS),致力于…
JFrog公开了一个流行的多媒体库PJSIP中的5个内存损坏漏洞
2022年3月1日
JFrog的安全研究团队一直在流行的开源项目中寻找新的和以前未知的安全漏洞,以帮助改善他们的安全状况。作为这项工作的一部分,我们最近在PJSIP中发现了5个安全漏洞,PJSIP是一个由Teluu开发的广泛使用的开源多媒体通信库。由……
CVE-2021-44521:利用Apache Cassandra用户定义函数进行远程代码执行
2022年2月15日
JFrog的安全研究团队最近披露了Apache Cassandra中的一个RCE(远程代码执行)问题,该问题已被分配给CVE-2021-44521 (CVSS 8.4)。这个Apache安全漏洞很容易被利用,有可能对系统造成严重破坏,但幸运的是,它只在Cassandra的非默认配置中表现出来。Cassandra是一个高度可扩展的分布式…
JNDI反击-未验证的RCE在H2数据库控制台
2022年1月6日
更新07/01/22 -在致谢部分中为研究人员@pyn3rd添加了类似的独立之前的研究结果。一个简短的序言最近,JFrog安全研究团队披露了H2数据库控制台中的一个问题,该问题被发布了一个关键的CVE- CVE-2021-42392。此问题与臭名昭著的Log4Shell漏洞具有相同的根本原因…
TensorFlow Python代码注入:更多的eval()问题
2021年11月16日
JFrog安全研究团队(前身为Vdoo)最近披露了TensorFlow附带的一个实用程序中的代码注入问题,TensorFlow是一个在行业中广泛使用的流行机器学习平台。文档版本号CVE-2021-41228。在我们之前的博客文章中阅读更多关于Yamale的类似披露。…
Unboxing BusyBox - Claroty和JFrog发现的14个新漏洞
2021年11月9日
具有有限内存和存储资源的嵌入式设备可能会利用BusyBox之类的工具,该工具被称为嵌入式Linux的瑞士军刀。2022世界杯阿根廷预选赛赛程BusyBox是一个由许多有用的Unix实用程序(称为applet)组成的软件套件,它们被打包为单个可执行文件。在BusyBox你可以找到…
CVE-2021-37136 & CVE-2021-37137 - Netty的解压器中的拒绝服务(DoS)
2021年10月26日
JFrog安全研究团队最近披露了Netty中的两个拒绝服务问题(CVE-2021-37136, CVE-2021-37137), Netty是一个流行的客户端/服务器框架,可以快速轻松地开发协议服务器和客户端等网络应用程序。在这篇文章中,我们将详细说明其中一个问题- CVE-2021-37136。谁会真正受到影响?网状的……
CVE-2020-27304 - RCE通过目录遍历CivetWeb HTTP服务器
2021年10月19日
JFrog最近披露了CivetWeb中的目录遍历问题,CivetWeb是一个非常流行的嵌入式web服务器/库,既可以用作独立的web服务器,也可以作为库添加到现有应用程序的web服务器功能。该问题已分配到CVE-2020-27304。这个目录遍历问题是高度可利用的…
23andMe的Yamale Python代码注入,并正确地消毒eval()
2021年10月5日
JFrog安全研究团队(以前是Vdoo)最近披露了Yamale的代码注入问题,Yamale是YAML的一个流行模式验证器,被200多个存储库使用。文档版本号CVE-2021-38305。注入问题攻击者可以控制提供给Yamale的模式文件的内容(-s/ -schema command…
今年10月,通过JFrog获得Cybersmart
2021年10月5日
我们生活在一个连接设备越来越多的世界——电话、数字助理、智能手表、汽车、恒温器、冰箱、风车等等。根据世界经济论坛(world Economic Forum)的数据,目前全球超过50%的人口上网,三分之二的人拥有移动设备。此外,当今应用程序的代码库通常主要由开源…
