The Field Test dashboard is vulnerable to cross-site request forgery (CSRF) with non-session based authentication methods in versions v0.2.0 through v0.3.2.
Impact
The Field Test dashboard is vulnerable to CSRF with non-session based authentication met…
SafariがChrome抜いて1位 – 7月タブレットブラウザシェア
Net Applicationsから2020年7月のタブレットブラウザのシェアが発表された。2020…
ChromeとEdgeが増加 – 7月PCブラウザシェア
Net Applicationsから2020年7月のデスクトップブラウザのシェアが発表された。202…
[apache-airflow] Command injection via Celery broker in Apache Airflow
An issue was found in Apache Airflow versions 1.10.10 and below. When using CeleryExecutor, if an attacker can connect to the broker (Redis, RabbitMQ) directly, it is possible to inject commands, resulting in the celery worker running arbitrary command…
核施設コンピューターへの侵入で発覚…米が中国人ハッカー2人を起訴
米司法省は7月21日、中国人ハッカー2人の起訴について明らかにした。米司法省によると中国人ハッカーの…
[lodash] Prototype Pollution in lodash
Versions of lodash prior to 4.17.19 are vulnerable to Prototype Pollution. The function zipObjectDeep allows a malicious user to modify the prototype of Object if the property identifiers are user-supplied. Being affected by this issue requires zipping…
自宅の庭に恐竜が現れた!? 『ジュラシック・ワールド』の恐竜ARがGoogle検索に登場‼︎
あなたの身近な場所を「ジュラシック・ワールド」にすることができるかもしれない……。2020年6月30…
イルカのナックとの会話「名詞から動詞へ」村山司・東海大学教授
イルカと話しをしたい―そんな思いを胸にイルカの知能について日々研究をしている東海大学海洋学部の村山司…
[org.hibernate:hibernate-validator] Privilege Escalation in Hibernate Validator
In Hibernate Validator 5.2.x before 5.2.5 final, 5.3.x, and 5.4.x, it was found that when the security manager’s reflective permissions, which allows it to access the private members of the class, are granted to Hibernate Validator, a potential privile…
[drf-jwt] Django Rest Framework jwt allows obtaining new token from notionally invalidated token
An issue was discovered in drf-jwt 1.15.x before 1.15.1. It allows attackers with access to a notionally invalidated token to obtain a new, working token via the refresh endpoint, because the blacklist protection mechanism is incompatible with the toke…