共收录 5 条相关安全情报。
← 返回所有主题Improper input validation in NI-PAL may allow a local authenticated user to access arbitrary system memory, potentially leading to privilege escalation. This vulnerability affects NI-PAL 26.3.0 and prior versions on Windows and Linux.
💡 风险点: 原文内容(由于配额限制,未进行深度 LLM 分析)
🎯 建议动作: 建议根据原文自行评估
Improper input validation in NI-PAL may allow a local authenticated user to access arbitrary system memory, potentially leading to privilege escalation. This vulnerability affects NI-PAL 26.3.0 and prior versions on Windows and Linux.
💡 影响/原因: 原文内容(由于配额限制,未进行深度 LLM 分析)
🎯 建议动作: 建议根据原文自行评估
CVE-2026-45352 影响 cpp-httplib(一个 C++11 单文件头跨平台 HTTP/HTTPS 库)0.43.4 之前的版本。漏洞存在于分块传输编码的解析过程中:函数 ChunkedDecoder::read_payload 使用 std::strtoul() 解析分块大小字段,而 strtoul 根据 C 标准会接受前导负号并执行无符号回绕。例如,strtoul("-2", …, 16) 返回 ULONG_MAX - 1 (0xFFFFFFFFFFFFFFFE)。该库仅在行 12833 处检查 ULONG_MAX(即 "-1" 的结果),但像 "-2" 这样的其他负值能够通过验证。导致 chunk_remaining 被赋值为一个接近最大值的无符号整数,进而控制服务器读取循环从网络消费的字节数。攻击者无需认证即可通过网络发送特制的分块编码请求,触发服务器无界的内存分配,最终导致进程崩溃(拒绝服务)。CVSS 评分 5.3,属于中等严重性。修复版本 0.43.4 已发布,建议所有受影响用户立即升级。临时缓解措施包括限制对受影响服务的网络访问或部署 Web 应用防火墙(WAF)过滤恶意分块编码请求。
💡 影响/原因: 该漏洞允许远程攻击者通过简单的 HTTP 请求造成拒绝服务,影响使用 cpp-httplib 构建的服务。由于无需认证且利用复杂度低,可能被广泛用于攻击。及时打补丁可防止服务中断。
The MongoDB C Driver's legacy GridFS API accepts malformed file metadata from the database without adequate validation. Crafted documents in a GridFS collection may cause any application that reads those files via the legacy API to either crash (via a division-by-zero) or silently leak process memory contents (via an out-of-bounds read).
💡 风险点: 原文内容(由于配额限制,未进行深度 LLM 分析)
🎯 建议动作: 建议根据原文自行评估
The MongoDB C Driver's legacy GridFS API accepts malformed file metadata from the database without adequate validation. Crafted documents in a GridFS collection may cause any application that reads those files via the legacy API to either crash (via a division-by-zero) or silently leak process memory contents (via an out-of-bounds read).
💡 影响/原因: 原文内容(由于配额限制,未进行深度 LLM 分析)
🎯 建议动作: 建议根据原文自行评估