每日安全动态推送(25/1/9)

正文

请到「今天看啥」查看全文

•  Apache Airflow Fab 提供商：通过CLI更改密码后未失效会话的安全漏洞分析与修复
CVE-2024-45033: Apache Airflow Fab Provider: Application does not invalidate session after password change via Airflow cli

本文揭示了Apache Airflow Fab Provider在用户通过CLI更改密码后未及时清除会话的漏洞，强调了一个关键的安全实践：确保身份验证和授权机制的有效性。

•  零点击漏洞：Windows LDAP远程代码执行
Zero-Click Exploit: Remote Code Execution in Windows LDAP

研究人员发现了Windows Lightweight Directory Access Protocol (LDAP) 中的一组严重的零点击远程代码执行漏洞，其中最突出的是CVE-2024-49112。这个漏洞使得未授权的攻击者能够在没有用户互动的情况下，通过对精心构建的RPC调用触发恶意LDAP查询来控制未打补丁的Windows服务器，从而导致服务器崩溃或者执行远程代码。此外，它也可能威胁到整个域环境的安全。

请到「今天看啥」查看全文