moon 皓月当空w
微信号 hanaffectionl
功能介绍 最快的威胁情报,最全的漏洞评估,总有你想知道的
__发表于
收录于合集 #漏洞早知道 92个
皓月当空,明镜高悬
文末有图片更好保存~
漏洞名称 :JWT token可允许恶意操作,包括远程代码执行(RCE)
漏洞出现时间 :2023年10月6日
影响等级 :严重
影响版本 :
- < 5.2.2
漏洞说明:
影响用户可以对Manager和API访问的身份验证中使用的JWT令牌(JSON Web令牌)进行逆向工程,伪造有效的NeuVector令牌以在NeuVector中执行恶意活动。这可能导致RCE。补丁升级至NeuVector[5.2.2版](https://open-docs.neuvector.com/releasenotes/5x)或更高版本和最新Helm图表(2.6.3+)。+在5.2.2中,JWT签名证书由控制器自动创建,有效期为90天,并自动轮换。+使用Helm-based部署/升级到5.2.2为Manager、REST API、ahd注册表适配器生成唯一证书。
修复方式:
**相关链接:
**
** 最快的威胁情报,最全的漏洞评估**
Tips
JSON Web Token (JWT) 是一个开放标准 (RFC 7519),它定义了一种紧凑(compact)且自包含(self- contained)的方式,用于在各方之间以JSON 对象方式安全地传输信息。
图片版本更好保存哦~
目前正在筹备漏洞情报中心,有什么建议和想法可以公众号留言,建议一旦采取,将获得内测名额
目前就这个鬼样子,ui我实在是无能为力,有热心小伙愿意设计ui也可以找我
近期文章:
【严重漏洞】 Apache FreeRDP 出现多个cve漏洞
【高危漏洞】【未修复】EduSoho企培开源版存在未授权访问漏洞
【高危漏洞】北京启明星辰信息安全技术有限公司天镜Web应用检测系统存在弱口令漏洞
【严重漏洞】CVE-2023-34968 Samba信息泄露漏洞
【高危漏洞】启明星辰信息安全技术有限公司4A统一安全管控平台存在命令执行漏洞
【高危漏洞】CVE-2023-40195-Apache Airflow 存在反序列化漏洞
预览时标签不可点
微信扫一扫
关注该公众号
知道了
微信扫一扫
使用小程序
取消 允许
取消 允许
: , 。 视频 小程序 赞 ,轻点两下取消赞 在看 ,轻点两下取消在看