SnakeYAML是一款基于Java的YAML解析器。SnakeYAML 存在緩沖區(qū)錯(cuò)誤漏洞，該漏洞源于解析不受信任的 YAML 文件可能容易受到拒絕服務(wù)攻擊(DOS)。 如果解析器在用戶提供的輸入上運(yùn)行，攻擊者通過特制內(nèi)容導(dǎo)致解析器因堆棧溢出而崩潰。

SnakeYAML是一款基于Java的YAML解析器。SnakeYAML 存在緩沖區(qū)錯(cuò)誤漏洞，該漏洞源于解析不受信任的 YAML 文件可能容易受到拒絕服務(wù)攻擊(DOS)。 如果解析器在用戶提供的輸入上運(yùn)行，攻擊者通過特制內(nèi)容導(dǎo)致解析器因堆棧溢出而崩潰。

SnakeYAML是一款基于Java的YAML解析器。SnakeYAML 存在緩沖區(qū)錯(cuò)誤漏洞，該漏洞源于解析不受信任的 YAML 文件可能容易受到拒絕服務(wù)攻擊(DOS)。 如果解析器在用戶提供的輸入上運(yùn)行，攻擊者通過特制內(nèi)容導(dǎo)致解析器因堆棧溢出而崩潰。

SnakeYAML是一款基于Java的YAML解析器。SnakeYAML 存在緩沖區(qū)錯(cuò)誤漏洞，該漏洞源于解析不受信任的 YAML 文件可能容易受到拒絕服務(wù)攻擊(DOS)。 如果解析器在用戶提供的輸入上運(yùn)行，攻擊者通過特制內(nèi)容導(dǎo)致解析器因堆棧溢出而崩潰。

Amanda是University of Maryland at College Park組織的一種自動(dòng)網(wǎng)絡(luò)磁盤存檔器。允許 IT 管理員設(shè)置單個(gè)主備份服務(wù)器，以通過網(wǎng)絡(luò)將多個(gè)主機(jī)備份到磁帶驅(qū)動(dòng)器/轉(zhuǎn)換器或磁盤或光學(xué)介質(zhì)。 Amanda 存在安全漏洞，該漏洞源于為runtar SUID二進(jìn)制文件精心設(shè)計(jì)的參數(shù)會(huì)導(dǎo)致本地權(quán)限升級(jí)到root。

Amanda是University of Maryland at College Park組織的一種自動(dòng)網(wǎng)絡(luò)磁盤存檔器。允許 IT 管理員設(shè)置單個(gè)主備份服務(wù)器，以通過網(wǎng)絡(luò)將多個(gè)主機(jī)備份到磁帶驅(qū)動(dòng)器/轉(zhuǎn)換器或磁盤或光學(xué)介質(zhì)。 amanda存在安全漏洞，該漏洞源于在rundump存在本地權(quán)限提升。

SnakeYAML是一款基于Java的YAML解析器。SnakeYAML 1.31及之前版本存在安全漏洞，該漏洞源于缺少對(duì)集合的嵌套深度限制，存在拒絕服務(wù)（DoS）問題。

curl支持鏈?zhǔn)紿TTP壓縮算法，這意味著服務(wù)器響應(yīng)可以多次壓縮，并且可能使用不同的算法。這個(gè)解壓縮鏈中可接受的鏈接數(shù)量是有上限的，但是上限是在每個(gè)頭的基礎(chǔ)上實(shí)現(xiàn)的，這使得惡意服務(wù)器只需使用許多頭就可以插入幾乎無限數(shù)量的壓縮步驟。使用這樣的解壓縮鏈可能會(huì)導(dǎo)致malloc炸彈，使curl最終花費(fèi)大量分配的堆內(nèi)存，或者嘗試并返回內(nèi)存外錯(cuò)誤。

當(dāng)在低于 1.7 的 JRE 上使用帶有 Log4j 1.x 的 Chainsaw 或 SocketAppender 組件時(shí)，攻擊者設(shè)法導(dǎo)致涉及特制（即深度嵌套）哈希圖或哈希表（取決于正在使用日志記錄組件）進(jìn)行處理可能會(huì)耗盡虛擬機(jī)中的可用內(nèi)存，并在反序列化對(duì)象時(shí)實(shí)現(xiàn)拒絕服務(wù)。此問題影響 Apache Log4j 2 之前版本。建議受影響的用戶更新至 Log4j 2.x。注意:此漏洞僅影響維護(hù)者不再支持的產(chǎn)品。

Gradle是美國Gradle公司的一套基于JVM的項(xiàng)目構(gòu)建工具，它支持maven、Ivy倉庫等。 Gradle存在安全漏洞，該漏洞源于如果在依賴性驗(yàn)證元數(shù)據(jù)的信任元素中使用指紋以外的任何內(nèi)容，將導(dǎo)致依賴性驗(yàn)證失敗。

Undici是Node.js的HTTP/1.1客戶端。當(dāng)不受信任的值傳遞到函數(shù)時(shí)，“Headers.set（）”和“Headers.append（）”方法容易受到正則表達(dá)式拒絕服務(wù)（ReDoS）攻擊。這是由于用于規(guī)范化“headerValueNormalize（）”實(shí)用程序函數(shù)中的值的正則表達(dá)式效率低下。

Google Golang是美國谷歌（Google）公司的一種靜態(tài)強(qiáng)類型、編譯型語言。Go的語法接近C語言，但對(duì)于變量的聲明有所不同。Go支持垃圾回收功能。Go的并行模型是以東尼·霍爾的通信順序進(jìn)程（CSP）為基礎(chǔ)，采取類似模型的其他語言包括Occam和Limbo，但它也具有Pi運(yùn)算的特征，比如通道傳輸。在1.8版本中開放插件（Plugin）的支持，這意味著現(xiàn)在能從Go中動(dòng)態(tài)加載部分函數(shù)。 Google Golang 存在安全漏洞，該漏洞源于使用某些方法時(shí)結(jié)果返回不正確。

Google Golang是美國谷歌（Google）公司的一種靜態(tài)強(qiáng)類型、編譯型語言。Go的語法接近C語言，但對(duì)于變量的聲明有所不同。Go支持垃圾回收功能。Go的并行模型是以東尼·霍爾的通信順序進(jìn)程（CSP）為基礎(chǔ)，采取類似模型的其他語言包括Occam和Limbo，但它也具有Pi運(yùn)算的特征，比如通道傳輸。在1.8版本中開放插件（Plugin）的支持，這意味著現(xiàn)在能從Go中動(dòng)態(tài)加載部分函數(shù)。 Google Golang 存在安全漏洞，該漏洞源于使用某些方法時(shí)結(jié)果返回不正確。

nodejs在某些情況下，該漏洞在可能設(shè)置OpenSSL錯(cuò)誤堆棧的操作后無法清除該錯(cuò)誤堆棧。這可能會(huì)導(dǎo)致在同一線程上的后續(xù)加密操作中出現(xiàn)誤報(bào)錯(cuò)誤。這反過來又可能被用來造成拒絕服務(wù)。

SpringFramework存在身份認(rèn)證繞過漏洞，當(dāng)SpringSecurity使用mvcRequestMatcher配置并將"**"作為匹配模式時(shí)，在SpringSecurity和 Spring MVC 之間會(huì)發(fā)生模式不匹配，最終可能導(dǎo)致身份認(rèn)證繞過