漏洞分析
关注
分享
扫一扫
文章平均质量分 87
<%李安%>
一生只做一件事
展开
-
Apache Apisix jwt插件 (CVE-2022-29266) 密钥泄漏
# CVE-2022-29266 Apache Apisix jwt插件 密钥泄漏## 漏洞描述在2.13.1版本之前的APache APISIX中,攻击者可以通过向受 jwt-auth 插件保护的路由发送不正确的 JSON Web 令牌来通过错误消息响应获取插件配置的机密。依赖库 lua-resty-jwt 中的错误逻辑允许将 RS256 令牌发送到需要 HS256 令牌的端点,错误响应中包含原始密钥值。## 漏洞版本Apache Apisix < 2.13.1##原创 2022-04-25 19:44:14 · 2459 阅读 · 4 评论 -
CVE-2022-1162 Gitlab 硬编码漏洞分析
漏洞描述 GitLab 是一个用于仓库管理系统的开源项目,使用 Git 作为代码管理工具,可通过 Web 界面访问公开或私人项目。在GitLab CE/EE版本14.7(14.7.7之前)、14.8(14.8.5之前)和14.9(14.9.2之前)中使用OmniAuth提供商(如OAuth、LDAP、SAML)注册的帐户设置了硬编码密码,允许攻击者潜在地控制帐户。漏洞版本Gitlab CE/EE >=14.7,<14.7.7Git...原创 2022-04-18 11:32:07 · 2503 阅读 · 0 评论