安全公告
-
【威胁通告】Fastjson <=1.2.62远程代码执行漏洞
2020-02-21综述在jackson-databind 中最新发现的反序列化 gadget 也同样影响了fastjson,经bbin宝盈集团科技研究人员验证复现,该漏洞影响最新的fastjson 1 2 62 版本,利用该漏洞可导致受害机器上的远程代码执行。开启了autoType功能的用户会受此漏洞影响(autoType功能默认关闭)。fastjson是阿里巴巴的开源JSON解析库,它可以解析JSON格式的字符串,支持将Java Bean序列化为JSON字符串,也可以从JSON字符串反序列化到JavaBean,由于具有
更多 -
【防护方案】Apache Tomcat文件包含漏洞(CVE-2020-1938)
2020-02-20一、综述2月20日,国家信息安全漏洞共享平台(CNVD)发布了一则关于Apache Tomcat存在文件包含漏洞的安全公告。公告中表示,存在于Apache Tomcat中的文件包含漏洞(CNVD-2020-10487,对应CVE-2020-1938)可使攻击者在未授权的情况下远程读取特定目录下的任意文件。漏洞源于Tomcat AJP协议实现中的缺陷,使得相关参数可控。通过向AJP协议端口(默认8009)发送精心构造的数据,可读取服务器webapp目录下的任意文件,比如配置文
更多 -
【威胁通告】Apache Tomcat 文件包含漏洞(CVE-2020-1938)
2020-02-20一 漏洞概述2月20日,国家信息安全漏洞共享平台(CNVD)发布了Apache Tomcat文件包含漏洞(CNVD-2020-10487 CVE-2020-1938)。该漏洞是由于Tomcat AJP协议存在缺陷而导致,攻击者利用该漏洞可通过构造特定参数,读取服务器webapp下的任意文件。若目标服务器同时存在文件上传功能,攻击者可进一步实现远程代码执行。目前,厂商已发布新版本完成漏洞修复。Tomcat是Apache软件基金会中的一个重要项目,性能稳定且免费,是目前
更多 -
综述近日,jackson-databind新版本中修复了一个由JNDI注入导致的远程代码执行漏洞CVE-2020-8840。受影响版本的 jackson-databind 中由于缺少某些xbean-reflect JNDI黑名单类,如org apache xbean propertyeditor JndiConverter,可导致攻击者使用JNDI注入的方式实现远程代码执行。参考链接:http: nvd nist gov vuln detail CVE-2020-8840受影响产品版本2 0 0 <= FasterXML jackson-databind Version <= 2 9 10 2不受
更多 -
一、 威胁通告 微软更新多个产品高危漏洞【发布时间】2020-02-13 10:40:00 GMT【概述】北京时间2月12日,微软发布2月安全更新补丁,修复了100个安全问题,涉及InternetExplorer、MicrosoftEdge、MicrosoftExchangeServer、MicrosoftOffice等广泛使用的产品,其中包括提权和远程代码执行等高危漏洞。【链接】http: blog nsfocus net microsoft-releases-multiple-announcement-for-critical-threats DjangoSQL注入漏
更多 -
综述在上周发布的微软月度更新中,包含一个存在于SQL Server Reporting Services(SSRS)中的远程代码执行漏洞CVE-2020-0618。目前已存在针对该漏洞的 PoC,请相关用户尽快安装补丁进行防护。SQL Server Reporting Services (SSRS)是微软基于服务器的报表生成软件,它是Microsoft SQL Server服务套件的一部分,通过Web界面进行管理,可用于准备和交付各种交互式报告。SSRS应用中的功能允许经过身份验证的攻击者向受影
更多