众至科技发布12月漏洞通告 | Apache Fineract 路径遍历漏洞；Prometheus 认证绕过漏洞

最新推荐文章于 2024-12-10 18:10:25 发布

众至科技技术开放区

最新推荐文章于 2024-12-10 18:10:25 发布

阅读量1.2k

点赞数

文章标签：科技 apache prometheus

本文链接：https://blog.csdn.net/zz_tech/article/details/128149376

版权

本文详细介绍了Apache Fineract的路径遍历漏洞和Prometheus的认证绕过漏洞。Apache Fineract 1.8.0及以下版本受影响，建议升级至1.7.1或更高版本。Prometheus 0.7.2和0.8.2之前的版本存在认证绕过风险，官方已发布补丁修复。

摘要生成于 C知道，由 DeepSeek-R1 满血版支持，前往体验 >

【漏洞通告】Apache Fineract 路径遍历漏洞

1.基础信息

CVE	CVE-2022-44635
等级	高危
类型	路径遍历

2.漏洞详情

最低0.47元/天解锁文章

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

众至科技技术开放区

关注关注

0
点赞
踩
0

收藏

觉得还不错? 一键收藏
0
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
举报

举报

众至科技：漏洞通告 | Apache Fineract 路径遍历漏洞；Zimbra Collaboration 存在远程代码执行漏洞；WordPress Plugin YITH WooCommerce

zz_tech的博客

12-12

470

众至科技发布12月漏洞通告

TiDB之Prometheus未授权访问漏洞修复

weixin_39863120的博客

07-01

2747

输入密码后，你应能看到 Prometheus 的指标输出。输入你的密码（例如 “test”）后，脚本会输出类似于。路径指向正确的 web.yml 文件位置。如果验证成功，会输出。

参与评论您还未登录，请先登录后发表或查看评论

【漏洞防范与应对：从发现到修复的全攻略】Prometheus Pushgateway推送网关存在未授权访问漏洞，处理过程详解！！！

大唐有趣的小胡.

05-11

3990

本文详细介绍了Prometheus Pushgateway推送网关存在的未授权访问漏洞及其处理过程。该漏洞允许未经授权的用户访问Pushgateway，可能导致敏感信息泄露或系统被恶意利用。文章首先分析了漏洞产生的原因，然后给出了具体的处理步骤，包括限制访问权限、更新配置文件、重启服务等。同时，强调了及时修复漏洞的重要性，并提供了防范类似漏洞的建议。通过本文的指南，读者可以了解如何发现并应对Prometheus Pushgateway推送网关的未授权访问漏洞，确保系统的安全性和稳定性。

PROMETHEUS安全漏洞分析

yua7190的博客

09-06

9047

Prometheus是一套开源的监控、告警、时间序列数据库的组合工具。与Kubernetes由Google内部Borg系统演变而来相似，Prometheus由Google内部的Borgmon[6]监控系统演变而来，最初在2012年由前Google工程师Matt T. Proud于SoundCloud[5]进行研发使用并在短时间内迅速受到业界广泛认可,后于2015年初在GitHub上开源，目前已有42.2K的Star数和7.1的Fork数。

prometheus+grafana漏洞汇总

qq_44657899的博客

02-23

1万+

文章目录基本介绍grafanaprometheus 基本介绍 prometheus+grafana一般合起来用，作用是监控以下介绍部分参考：prometheus+grafana监控设置 Prometheus（普罗米修斯）是一套开源的监控&报警&时间序列数据库的组合，起始是由SoundCloud公司开发的。随着发展，越来越多公司和组织接受采用Prometheus，社会也十分活跃，他们便将它独立成开源项目，并且有公司来运作。Google SRE的书内也曾提到跟他们BorgMon监控系统相似的实

prometheus涉及pprof go信息泄露漏洞整改

abin的博客

09-06

7581

本文记录一下对系统渗透测试后反馈Prometheus涉及pprof go信息泄露，验证方法为http://ip:port/debug/pprof

prometheus_snyk_exporter：从snyk.io收集安全漏洞指标以用于Prometheus监视

01-30

prometheus_snyk_exporter 通过可观察性确保安全！该项目将监视项目与安全服务集成在一起。，收集有关组织漏洞的汇总信息，并将其公开为普罗米修斯指标。动机 Snyk服务提供的仪表板已经提供了项目安全漏洞的当前状态的视图。 Snyk还提供了一种企业产品，该产品能够跟踪一段时间内的漏洞数量。对于许多用户来说，这可能就足够了。在DNAnexus，我们正在建立可观察性的文化，我们希望此信息可用于我们的内部监控系统。这样，我们不仅可以跟踪一段时间内的安全漏洞，还可以使用Prometheus设置自己的自定义警报和内部。格拉法纳仪表板提供了Grafana仪表板，以便您可以随时间可视化snyk漏洞（请参阅项目根目录中的json文件。）以下是使用虚拟生成数据的仪表板示例：先决条件 snyk.io帐户。对于开源项目和扫描量较小的私人项目，它是免费的。要更频繁地扫描私人项目，可以使用付费计划。 snyk API令牌。在您的上获取它。入门节点JS 注意：需要节点> 7.6才能支持异步/等待。 git clone git@github.com:dna

大疆妙算2复现prometheus项目！一步一坑

bankedami的博客

05-15

1120

大疆妙算2复现prometheus项目妙算2复现prometheus项目博客上面已经有很多版本，在参考别人的步骤的同时也遇到了很多新的问题，故在此记录，仅供各位参考。需要做的事情 1.挂载妙算二自带的128G硬盘。 2.找到与cuda9.0对应的cudnn版本，并且一定要找到对应于arm架构的版本，否则后续会出现错误，并且难以找到相应的解决办法。 3.安装pytorch1.0.0（因项目需要此版本） 4.安装ros需要的依赖项 5.

prometheus杂碎

weixin_30652271的博客

01-25

131

一个监控及告警的系统，内含一个TSDB(时序数据库)。在我而言是一个数采程序重要成员分三块 exploter:实际是外部接口，让各个程序实现这个接口，供普罗米修斯定时从此接口中取数 alert：告警模块 prometheus：实际上是数采模块+存储模块，但是它的存储不是持久化的普罗米修斯的数据是一个值时间序列，例如 website_request_count{meth...

【Prometheus】node_exporter部署和漏洞修复---完美部署

youmiqianyue的博客

12-10

3093

node_exporter部署和相关漏洞修复

Prometheus监控使用实践

chuihuji9079的博客

03-01

280

Prometheus介绍 Prometheus是一套开源监控报警系统（包括时序列数据库TSDB），自2012年来被许多公司与组织所采用。其中Prometheus的特点如下：多维数据模型（时序列数据由metric名和一组key/value组成） ...

常见未授权访问漏洞

weixin_60838266的博客

07-17

4938

由于框架对控制器名没有进行足够的检测，导致在没有开启强制路由的情况下可以执行任意方法，从而导致远程命令执行漏洞。受影响的版本包括 5.0 和 5.1 版本（即默认情况下）。

Prometheus 问题

u013939918的博客

07-21

6373

问题一：context deadline exceeded Get http://192.168.90.177:9100/metrics: context deadline exceeded 解决办法：有可能端口未开放,指定其他端口 [root@localhost ~]#./node_exporter--web.listen-address=":8080" & 问题二：read: connection reset by peer Get http://192.168.110.85:...

活学活用Prometheus（六）：Pushgateway详解与使用场景

路多辛的所思所想

01-07

784

首先讲一下Prometheus采集监控数据的方法，被监控系统（或者借助Exporter）对外暴露一个用于获取当前监控样本数据的HTTP访问地址，Prometheus通过轮询的方式定时从这个http地址中获取监控数据样本。针对被监控服务位于防火墙之后，Prometheus无法穿透防火墙这种场景，请考虑将 Prometheus 服务也部署到防火墙之后，将 Prometheus 服务部署在与被监控服务所在的网络内。Pushgateway是Prometheus的一个中间服务组件，并做为一个独立的工具存在。

【漏洞修复】node-exporter被检测/debug/vars泄漏信息漏洞

Meepoljd的博客

07-18

4771

和之前的pprof类似，都是国产的安全工具扫出来的莫名其妙的东西，这次也是报的node-exporter存在这个漏洞，又归我处理。

开源组件风险修复，升级版本就够了吗？

cenlois的博客

03-12

1万+

通常情况下开源组件风险的修复建议是升级版本。但是这样就够了么？近日，开源安全研究院研究员发现了风险修复里一些很有意思的点。 1.开源安全研究院先是对MeterSphere的1.18.0版本进行了开源组件的安全检测发现了存在风险并向MeterSphere提出了修复的建议，MeterSphere也对此表示了感谢。 2.随后绿盟发现MeterSphere开源持续测试平台的三处漏洞并上报，MeterSphere对此表示了感谢并且升级版本为1.18.1。 3.这时开源安全研究院开始思考为何最初...

prometheus监控软件的使用

qq_48391148的博客

09-07

3927

运维工作离不开监控工具或者软件去帮助我们7*24监控我们的服务器和软件，是否还在正常的工作。如果不工作，马上告警（短信，电话，微信，钉钉），及时处理。监控的价值：防范事故与未然，减少事故带来的损失。及时的发现问题，提醒工程师尽快的去解决问题，减少公司的损失

【漏洞复现】Grafana任意文件读取漏洞(CVE-2021-43798)