Apache Karaf Config service provides a install method (via service or MBean) that could be used to travel in any directory and overwrite existing file. The vulnerability is low if the Karaf process user has limited permission on the filesystem. Any Apa…
[org.eclipse.xtext:org.eclipse.xtext] Potentially compromised builds
All Xtext & Xtend versions prior to 2.18.0 were built using HTTP instead of HTTPS file transfer and thus the built artifacts may have been compromised.
References
https://nvd.nist.gov/vuln/detail/CVE-2019-10249
https://github.com/eclipse/xtext-xte…
[org.apache.portals.pluto:chatRoomDemo] Cross-site Scripting in Apache Pluto Chatroom demo
The input fields of the Apache Pluto “Chat Room” demo portlet 3.0.0 and 3.0.1 are vulnerable to Cross-Site Scripting (XSS) attacks. Mitigation: * Uninstall the ChatRoomDemo war file – or – * migrate to version 3.1.0 of the chat-room-demo war file
Refer…
[org.apache.qpid:proton-j] Improper Certificate Validation in Apache Qpid Proton
While investigating bug PROTON-2014, we discovered that under some circumstances Apache Qpid Proton versions 0.9 to 0.27.0 (C library and its language bindings) can connect to a peer anonymously using TLS even when configured to verify the peer certifi…
[org.eclipse.vorto:org.eclipse.vorto.core] Eclipse Vorto resolved Maven build artifacts for the Xtext project over HTTP instead of HTTPS
Eclipse Vorto versions prior to 0.11 resolved Maven build artifacts for the Xtext project over HTTP instead of HTTPS. Any of these dependent artifacts could have been maliciously compromised by a MITM attack. Hence produced build artifacts of Vorto mig…
[org.jenkins-ci.plugins:ontrack] Sandbox bypass in ontrack Jenkins Plugin
A sandbox bypass vulnerability in Jenkins ontrack Plugin 3.4 and earlier allowed attackers with control over ontrack DSL definitions to execute arbitrary code on the Jenkins master JVM.
References
https://nvd.nist.gov/vuln/detail/CVE-2019-10306
https:…
ストリートビューが 15 歳になりました
Google ストリートビューが誕生してから、今月で 15 年です!ストリートビューの始まりと、過去 15 年間の歩みを振り返ってみましょう。 ストリートビューは、世界の 360 度の地図を作りたいという、Google 創業者のひとりであるラリー ペイジの発想から始まりました。彼のビジョンは、人々がコンピューターからストリートレベルで場所やエリアがどのようなものかを完全に体験できるようにすることでした。そこで彼は、セキュリティチームから借りたバンにカメラをストラップで固定し、マウンテンビュ…
Project Euphonia:発話障害に対応する音声認識研究に日本語も新たに追加
テクノロジーがより多様な発話パターンを認識できるようになることで、発話障害を持つ人々や発声に困難を抱える人々の日常生活を支援することができます。Google は、発話障害を持つ人々が音声認識をより利用しやすくすることを目指す研究 Project Euphonia を 2019 年から英語で開始しました。そして本日、Global Accessibility Awareness Day(GAAD)を祝い、この研究活動を日本語を含む 5か国語(フランス語、ヒンディー語、スペイン語、英語)に拡大…
最速着用レビュー「UNIQLO and MARNI」2022年春夏コレクション
「ユニクロ(UNIQLO)」とイタリアンブランド「マルニ(MARNI)」の初コラボレーションコレクシ…
[octoprint] Cross-site Scripting in OctoPrint
Cross-site Scripting (XSS) – Generic in GitHub repository octoprint/octoprint prior to 1.8.0. The Stream URL of octoprint application allowing a xss payload to execute.
References
https://nvd.nist.gov/vuln/detail/CVE-2022-1432
https://github.com/octop…