Swagger 高危漏洞影响 Java、PHP 和 Ruby等语言

广泛使用的Swagger规格(今 年初重命名为OpenAPI)发现了高危漏洞,潜在影响到了Java、PHP、NodeJS和 Ruby等流行语言开发的应用。该漏洞允许攻击者远程执行代码,存在于Swagger Code Generator中,属于参数注入漏洞,允许攻击者在Swagger JSON文件中嵌入代码,使用Java、PHP、NodeJS和 Ruby等语言开发的Web应用如果整合了 Swagger API会受到影响。Rapid7研究人员公开了漏洞的技术细节和补丁,该漏洞早在4月就在私下披露过了,但t Rapid7称没有从Swagger维护者那里听到回应。

文章转载自 开源中国社区[http://www.oschina.net]

时间: 2024-08-04 10:25:26

Swagger 高危漏洞影响 Java、PHP 和 Ruby等语言的相关文章

高通安全执行环境高危漏洞影响全球六成安卓设备

本文讲的是高通安全执行环境高危漏洞影响全球六成安卓设备,高通安全执行环境 (Qualcomm Secure Execution Environment, QSEE) 中的一个关键提权漏洞 (Elevation of Privilege, EOP) 仍影响全世界大约六成的安卓设备.而该漏洞早些时候曾得到过一次修复. 问题的根源在于 Widevine QSEE TrustZone 应用中的一个关键提权漏洞CVE-2015-6639,而该漏洞在今年一月已经被谷歌发布的包含12个安卓漏洞补丁的补丁包修复

WinRAR 高危漏洞影响五亿用户

流行解压缩软件WinRAR的最新版本(WinRAR SFX v5.21)被发现存在一个允许远程执行代码的高危漏洞,影响多达五亿用户.问题存在于"自解压窗口显示文本"中的"文本和图标"功能,远程攻击者能生成 带有恶意载荷的压缩文档去执行系统特定的代码,入侵系统不需要特权账号或用户交互.Vulnerability Lab的安全研究人员公布了概念验证攻击代码. 文章转载自 开源中国社区[https://www.oschina.net]

360指腾讯财付通有高危漏洞 影响用户至少千万

中介交易 http://www.aliyun.com/zixun/aggregation/6858.html">SEO诊断 淘宝客 云主机 技术大厅 360称腾讯受影响用户至少千万 腾讯暂未回应 昨日,360安全中心发布重大安全警报称,腾讯公司旗下财付通支付产品出现高危漏洞,导致其数字签名证书被黑客利用制作木马病毒,而绝大多数杀毒软件无法防范.该漏洞将影响所有QQ彩钻.腾讯拍拍以及接入财付通支付平台的购物与充值网站的用户,用户量保守估计也在千万级水平,感染量约为1.2万台电脑. 本报讯 (

Discuz!曝高危漏洞 影响7.2及以下版本

中介交易 http://www.aliyun.com/zixun/aggregation/6858.html">SEO诊断 淘宝客 云主机 技术大厅 7月2日消息,国内流行的建站系统Discuz!今天曝出高危漏洞.利用该漏洞,黑客可轻易获得网站控制权(远程直接getshell),影响7.2及以下版本.目前,360网络攻防实验室已验证该漏洞存在,并通报Discuz!官方进行修复.在补丁发布前,广大网站可免费使用360网站卫士防范此漏洞威胁. 图:利用漏洞,黑客可远程直接getshell Di

高通高危漏洞影响大量手机

安全公司FireEye的研究人员称,过去五年,很多Android手机都存在一个漏洞, 会导致用户的短信.电话记录和其它私人敏感数据被窥探.漏洞影响Android v4.3及早期版本,允许低权限应用访问它们本来被限制访问的敏感数据.漏洞编号为CVE-2016-2060,是移动芯片巨头高通公司引入到 Android系统中的,它为系统服务network_manager(netd)释出了一组编程接口.研究人员称,CVE-2016-2060至少从 2011年就存在于系统中,影响全世界数以百计的设备型号.G

GNU C Library高危漏洞影响大量应用和设备

研究人员在一个广泛使用的开源核心基础库中发现了一 个潜在具有灾难性的漏洞,可能导致数以千计的应用和设备易被攻击和被攻击者完全控制.漏洞是在2008年引入到GNU C 函数库(GNU C Library,简称glibc)中的,与 getaddrinfo() 函数有关,影响glibc 2.9之后的所有版本,广泛使用的工具如secure shell.sudo和curl都受影响. glibc是一套开源的C运行时库,被数以千计的应用使用,包含在大部分Linux发行版中,也被路由器等设备使用.getaddr

iOS也不安全?高危漏洞威胁近半果粉!

前言 iOS系统向来以其良好的安全性深得广大用户的信赖,特别是其安全升级速度与安卓相比有明显优势.但是根据百度安全实验室对上亿台国内iOS设备系统版本统计发现,iOS 10.3.3于7.19日发布至今已有50天,仅有54%的用户升级到了最新的iOS 10.3.3系统,剩余的近半数国内iOS设备依然停留在受高危漏洞影响的旧版系统.即使最新的iPhone7系列机型,也有近32%的设备没有及时升级.而这些旧版本的多个高危漏洞的利用方法已经被公开,未升级用户面临着严峻的安全风险.我们呼吁iOS用户尽快升

补丁问题导致Java高危漏洞再现 可攻击最新版服务器

本文讲的是补丁问题导致Java高危漏洞再现 可攻击最新版服务器,安全研究人员警告称,甲骨文在2013年发布的一个关键 Java 漏洞更新是无效的,黑客可以轻松绕过.这使得此漏洞可以被再度利用,攻击运行最新版本 Java 的个人计算机及服务器. 该漏洞在通用漏洞及披露数据库中的代码为 CVE-2013-5838 ,甲骨文在通用漏洞评分系统上给其打出过 9.3/10 的高分. 该漏洞可被远程利用,不需要授权验证即可完全入侵系统,损害其机密性.完整性.可用性. 波兰公司 Security Explor

网络现JAVA高危漏洞 QQ电脑管家可修复

近日,一则披露Oracle公司Java Applet Rhino 脚本引擎存在远程执行代码高危漏洞的消息遭披露,该漏洞的代码细节被完全公开.目前,该漏洞的演示程序已在国内多个安全论坛.主流论坛广泛传播,并有进一步扩大的趋势. 专家指出,黑客利用该漏洞可以轻松制作含有恶意木马病毒的网页.由于JAVA组件被广泛安装在桌面电脑和服务器上,浏览攻击者设计的网页会轻易被木马病毒所感染,可能导致计算机被完全控制,从而遭受虚拟帐号财产被盗.个人信息泄漏等损失.而大多数安全软件的网页防护功能,均无法抵御黑客基于