11개 보안 소스를 한 번에 검색

CVE ID, 패키지명, 키워드로 NVD · OSV · CISA KEV · KISA 보호나라까지 통합 검색하세요.

최근 등록 CVE

가장 최근에 발행된 취약점입니다.

  • Malicious code in ecto-corsair-flag-7kq3mz (npm)

    Risk 0.00OSV
  • Malicious code in module-index-cache (npm)

    Risk 0.00OSV
  • Malicious code in ripshakti (npm)

    Risk 0.00OSV
  • Malicious code in @sudoughnym/enviro-demo (npm)

    Risk 0.00OSV
  • Malicious code in @businessapp-microsites/apis (npm)

    Risk 0.00OSV
  • Malicious code in cursed-modules (npm)

    Risk 0.00OSV

실제 악용중 (CISA KEV)

공격에 활용되고 있는 것이 확인된 취약점입니다.

  • KEVCRITICAL

    SimpleHelp 버전 5.5.15 이하 및 6.0 시험판 버전에는 OIDC 인증 흐름에 인증 우회 취약점이 포함되어 있습니다. OIDC 인증이 구성되면 로그인 중에 제출된 ID 토큰은 암호화 서명을 확인하지 않고 허용됩니다. 취약한 구성에서 인증되지 않은 원격 공격자는 완전히 인증된 기술자 세션을 얻기 위해 임의의 ID 클레임을 포함하는 위조된 토큰을 제출할 수 있습니다. 일부 구성에서는 이 문제가 발생할 수 있습니다.

    Risk 7.75NVD · KEV
  • KEVHIGH

    LiteLLM은 OpenAI(또는 기본) 형식으로 LLM API를 호출하기 위한 프록시 서버(AI 게이트웨이)입니다. 버전 1.74.2부터 버전 1.83.7 이전까지 MCP 서버를 저장하기 전에 미리 보는 데 사용된 두 개의 엔드포인트(POST /mcp-rest/test/connection 및 POST /mcp-rest/test/tools/list)는 stdio 전송에서 사용하는 명령, args 및 env 필드를 포함하여 요청 본문의 전체 서버 구성을 허용했습니다. stdio 구성으로 호출하면 엔드포인트가 연결을 시도했고 이로 인해 제공된 com이 생성되었습니다.

    Risk 7.35OSV · GITHUB_ADVISORY · NVD · KEV
  • KEVHIGH

    Apache ActiveMQ Broker, Apache ActiveMQ의 부적절한 입력 유효성 검사, 코드 생성의 부적절한 제어('코드 삽입') 취약점. Apache ActiveMQ Classic은 웹 콘솔의 /api/jolokia/에 Jolokia JMX-HTTP 브리지를 노출합니다. 기본 Jolokia 액세스 정책은 다음을 포함하여 모든 ActiveMQ MBean(org.apache.activemq:*)에 대한 실행 작업을 허용합니다. BrokerService.addNetworkConnector(문자열) 및 BrokerService.addConnector(문자열). 인증된 공격자는 다음을 사용하여 이러한 작업을 호출할 수 있습니다.

    Risk 7.40KEV · NVD · OSV · KISA · GITHUB_ADVISORY
  • KEVHIGH

최근 7일 고위험 CVE

risk_score 내림차순, CRITICAL · HIGH 만 표시.

  • CRITICAL

    Appsmith는 관리 패널, 내부 도구 및 대시보드를 구축하는 플랫폼입니다. 2.1 이전에는 기본적으로 인증이 없는 번들 Caddy 역방향 프록시의 관리 API가 컨테이너 내부에서 0.0.0.0:2019에 바인딩되었습니다. 이 리스너는 docker-compose.yml을 통해 호스트에 직접 게시되지 않지만 Appsmith 서버 프로세스 자체 또는 SSRF 취약점을 통해 연결할 수 있습니다. 따라서 권한이 낮은 인증된 사용자는 SSRF를 구동하여 POST /load(또는 다른 관리 API CA)를 실행할 수 있습니다.

    Risk 6.45NVD
  • CRITICAL

    2.4.3까지의 RTKLIB에는 길이 카운터를 대상 버퍼 크기에 고정하지 못하는 decode_type1033 함수의 범위를 벗어난 쓰기 취약점이 포함되어 있어 고정된 64바이트 설명자 필드에 최대 191바이트 오버플로가 허용됩니다. NTRIP 또는 직렬 RTCM3 수정 스트림을 제어하는 ​​공격자는 유효한 CRC 베어링 유형 1033 메시지를 작성하여 인접한 rtcm_t 개체 구성원을 손상시켜 잠재적으로 임의 코드 실행 또는 서비스 거부를 달성할 수 있습니다.

    Risk 6.15NVD
  • HIGH

    Appsmith는 관리 패널, 내부 도구 및 대시보드를 구축하는 플랫폼입니다. 2.1 이전에는 Appsmith의 번들 감독자가 공용 수신 시 /supervisor/*에 있는 Caddy 역방향 프록시 경로를 통해 컨테이너 외부에서 연결할 수 있는 포트 9001에 XML-RPC 인터페이스를 노출했습니다. GET /api/v1/admin/env를 통해 노출된 APPSMITH_SUPERVISOR_PASSWORD와 결합하면 인증된 모든 관리자는 임의의 XML-RPC 호출을 감독자에게 보내고 twiddle을 통해 Docker 컨테이너 내에서 OS 명령을 실행할 수 있습니다.

    Risk 5.95NVD
  • HIGH

    Flowise 2.2.7에는 importChatflows API의 SQL 주입 취약점이 포함되어 있습니다. chatflow.id 값에 대한 유효성 검사가 충분하지 않기 때문에 인증된 사용자는 id 필드가 삭제되지 않은 SQL IN 절에 연결되어 자격 증명 테이블에서 블라인드 및 오류 기반 데이터 추출을 포함하여 임의 SQL이 실행될 수 있도록 조작된 JSON 가져오기 파일을 제공할 수 있습니다.

    Risk 5.75
11개 소스를 통합 검색
NVD
OSV
CISA KEV
GitHub Advisory
MITRE CVE
Exploit-DB
RustSec
PyPA
Go Vuln DB
Ruby Advisory
npm Advisory
Composer Advisory
NVD
OSV
CISA KEV
GitHub Advisory
MITRE CVE
Exploit-DB
RustSec
PyPA
Go Vuln DB
Ruby Advisory
npm Advisory
Composer Advisory