漏洞描述:Twisted 是一个基于事件的互联网应用框架,支持 Python 3.6+。 twisted.web 提供的 HTTP 1.0 和 1.1 服务器可能会无序处理管道式 HTTP 请求,可能导致信息泄露。该漏洞已在 24.7.0rc1 中修复。
发布时间:2024-11-25漏洞描述:Twisted 是一个基于事件的互联网应用框架,支持 Python 3.6+。`twisted.web.util.redirectTo` 函数包含 HTML 注入漏洞。如果应用程序代码允许攻击者控制重定向 URL,则此漏洞可能会导致重定向响应 HTML 主体中出现反射型跨站点脚本 (XSS)。此漏洞已在 24.7.0rc1 中修复。
发布时间:2024-11-25漏洞描述:在 scikit-learn 的 TfidfVectorizer 中发现了一个敏感数据泄露漏洞,具体来说是在 1.4.1.post1 及之前的版本中,该漏洞已在 1.5.0 版本中修复。该漏洞源于在 `stop_words_` 属性中意外存储了训练数据中存在的所有标记,而不是仅存储 TF-IDF 技术运行所需的标记子集。此行为可能导致敏感信息泄露,因为 `stop_words_` 属性可能包含本应丢弃而不是存储的标记,例如密码或密钥。此漏洞的影响因矢量化器正在处理的数据的性质而异。
发布时间:2024-11-25漏洞描述:HTTPS 协议没有考虑 TCP 拥塞窗口在提供内容长度信息方面的作用,这使得远程攻击者更容易利用发送第三方 cookie 的 Web 浏览器配置来获取明文数据,也就是“HEIST”攻击。
发布时间:2024-11-11漏洞描述:在 2.6.18、2.7.12 和 2.8.2 之前的版本中,Ansible 模板实现方式存在缺陷,可能导致通过意外变量替换泄露信息。通过利用意外变量替换,任何变量的内容都可能被泄露。
发布时间:2024-11-11漏洞描述:Mozilla Firefox 允许远程攻击者通过精心设计的图像导致拒绝服务(崩溃),如 zzuf lol-firefox.gif 测试用例所示。
发布时间:2024-11-11漏洞描述:Mozilla Firefox 2.0.0.17 之前版本中的 XPConnect 组件允许远程攻击者“污染 XPCNativeWrappers”并通过与 SCRIPT 元素相关的向量以 chrome 权限执行任意代码。
发布时间:2024-11-11漏洞描述:Netscape Navigator 7.0.2 和 Mozilla 允许远程攻击者通过对末尾带有额外 .(点)的域的 HTTP 请求来访问不同域中的 cookie 信息。
发布时间:2024-11-11漏洞描述:(1) Sage 1.3.10 之前的版本和 (2) Firefox 的 Sage++ 扩展中存在跨站点脚本 (XSS) 漏洞,允许远程攻击者通过 RSS 源中的“-->