从这个网页截图中,我们可以获取到以下关于漏洞的关键信息: 1. 版本信息: - 版本号:v7.0.10 - 发布日期:2024年7月30日 - 代码提交数:948次 - 代码行数:3972782 2. 漏洞描述: - 安全警告:Snipe-IT现在需要PHP 8.1.2或更高版本。 - 漏洞类型:此版本修复了一些小的bug,并添加了一些用户体验改进,包括在创建、编辑或检查资产、配件、许可证、用户等时,可以决定去哪里。 - 漏洞影响:如果有人访问您的APP_KEY,他们可能会通过其他方式执行RCE攻击。建议不要将默认的APP_KEY值暴露在任何示例环境文件中。 3. 修复措施: - 修复措施:此版本通过禁用cookie序列化来缓解攻击,但建议不要将APP_KEY与其他用户共享。 - 建议:如果您的环境使用了加密的自定义字段,建议使用CLI工具处理APP_KEY,以确保其安全。 4. 新功能: - 新功能:此版本添加了用户自定义字段和检查配件到资产和位置的功能。 5. 已修复的漏洞: - 已修复的漏洞:此版本修复了多个已知漏洞,包括但不限于: - 修复了Livewire更新和资产URL的前缀设置。 - 修复了模型在检查时的错误翻译字符串。 - 修复了缺少的翻译在工具提示上。 - 修复了打印用户资产的EULAs。 - 修复了在一次检查中可以检查多个配件。 - 修复了Docker环境设置中的PHP UPLOAD LIMIT问题。 - 修复了批量删除和恢复日志记录。 - 修复了在导入器中使用Cryp的使用情况。 - 修复了默认头像的删除能力。 - 修复了用户编辑页面上显示现有图像的能力。 - 修复了禁用其他登录机制的选项。 - 修复了在没有翻译的表中加载英文文件。 - 修复了启动脚本中的SSL检查。 - 修复了在用户导入器中添加EOL和审计。 - 修复了使用php8.2而不是8.1的dockerfile。 - 修复了用户配置文件资产的环境变量。 - 修复了在恢复时添加中间目录。 - 修复了在恢复时使用blade组件的重定向。 - 修复了在皮肤列表中动态迭代。 - 修复了使用pwd_secure_min值生成密码。 6. 新贡献者: - 新贡献者:此版本新增了三位贡献者,包括@dbakan、@r-xyz和@DrekiDegga。 7. 完整变更日志: - 完整变更日志:完整的变更日志可以在v7.0.9到v7.0.10之间查看。 通过这些信息,我们可以了解到此版本的主要安全修复和新功能,以及其对用户的影响。