Red Hat Summit 红帽全球峰会支持控制台(Console)开发人员开始试用联系人

6.3. Red Hat Developer Hub 1.4.1

6.3.1. Red Hat Developer Hub 依赖项更新
复制链接

CVE-2024-45338
golang.org/x/net/html 中发现了一个安全漏洞。此漏洞允许攻击者对解析功能进行精心设计的输入,这些函数会对长度不单处理,从而造成了非常慢的解析过程。此问题可能会导致拒绝服务。
CVE-2024-52798
在 path-to-regexp 中发现了一个安全漏洞。path-to-regexp 将路径字符串转换为正则表达式。在某些情况下,path-to-regexp 将输出一个可以利用的正则表达式来降低性能。
CVE-2024-55565
nanoid (也称为 Nano ID)在 5.0.9 错误处理非整数值前。3.3.8 也是固定的版本。
CVE-2024-56201
在 Jinja2 软件包中发现了一个安全漏洞。Jinja 编译器中的一个 bug 允许一个控制模板内容和文件名的攻击者来执行任意 Python 代码,而不考虑 Jinja 的沙盒。攻击者需要能够控制模板的文件名和内容。这种情况取决于使用 Jinja 的应用类型。此漏洞会影响执行不受信任的模板的应用程序用户,其中模板作者也可以选择模板文件名。
CVE-2024-56326
Jinja 软件包中发现了一个安全漏洞。在受影响的 Jinja 版本中,Jinja 沙盒容器环境如何检测对 str.format 的调用允许攻击者控制模板内容执行任意 Python 代码。为了利用此漏洞,攻击者需要控制模板的内容。这种情况取决于使用 Jinja 的应用类型。此漏洞会影响执行不受信任的模板的应用程序用户。Jinja 的沙盒会捕获对 str.format 的调用,并确保它们不会转义沙盒。但是,可以存储对恶意字符串格式方法的引用,然后将它传递给调用它的过滤器。此类过滤器不在 Jinja 中构建,但可以通过应用中的自定义过滤器来显示。在修复后,此类间接调用也由沙盒处理。
CVE-2024-56334
在 Node.js 的 systeminformation 库中发现了一个安全漏洞。在 Windows 系统中,getWindowsIEEE8021x 功能的 SSID 参数在传递给 cmd.exe 之前不会被清理。这可能会允许远程攻击者在目标系统上执行任意命令。
返回顶部
Red Hat logoGithubredditYoutubeTwitter

学习

尝试、购买和销售

社区

关于红帽文档

通过我们的产品和服务,以及可以信赖的内容,帮助红帽用户创新并实现他们的目标。 了解我们当前的更新.

让开源更具包容性

红帽致力于替换我们的代码、文档和 Web 属性中存在问题的语言。欲了解更多详情,请参阅红帽博客.

關於紅帽

我们提供强化的解决方案,使企业能够更轻松地跨平台和环境(从核心数据中心到网络边缘)工作。

Theme

© 2025 Red Hat