漏洞

  • 【预警】WebLogic反序列化漏洞

    描述Oracle官方在2018年4月18日凌晨发布了关键补丁更新,其中包含了Oracle WebLogic Server的一个高危的Weblogic反序列化漏洞(CVE-2018-2628),通过该漏洞,攻击者可以在未授权的情况下远程执行代码。漏洞作者loopx9廖新喜影响版本Weblogic 10.3.6.0Weblogic 12.1.3.0Weblogic 12.2.1.2Weblogic 1...

    2018年04月18日 12371 0
  • S2-056 XML Dos

    漏洞描述在Struts REST插件中使用XStream处理程序时,攻击者使用构造恶意的XML请求执行,发起DoS攻击。漏洞作者Yevgeniy Grushka & Alvaro Munoz from HPE 漏洞编号CVE-2018-1327影响版本Struts 2.1.1 - Struts 2.5.14.1威胁等级中修复方案1.升级到Apache Struts的版本2.5.1...

    2018年03月28日 8501 0
  • niushop 前台无限制Getshell

    这个CMS写的感觉很渣,官网服务器放在阿里云,估计作者又抱着连阿里云都防不住那就没办法的心态。这次发现的是一个无需登陆即可getshell的漏洞从入口文件找应用层目录在/application/下看到了admin模块控制器里面有个Upload.php文件其中问题代码在114行到264行,由于篇幅过长,我在这里截取其中重要的一部分代码首先,整个文件没有对访问者的身份进行判断,也就是无需登陆我们来看标...

    2018年03月13日 8302 0
  • Apache Tomcat安全绕过漏洞

    漏洞描述近日,Apache发布安全公告称Apache Tomcat 7、8、9多个版本存在安全绕过漏洞。攻击者可以利用这个问题,绕过某些安全限制来执行未经授权的操作,这可能有助于进一步攻击。Apache Tomcat servlet 注释定义的安全约束,只在servlet加载后才应用一次。由于以这种方式定义的安全约束,应用于URL模式及该点下任何URL,很可能取决于servlet加载的次序,这可能...

    2018年03月13日 7784 0
  • Apache Jmeter RMI 反序列化

    Apache Jmeter 反序列化描述Apache Jmeter是一款旨在为负载测试功能行为和测量性能的开源的Java应用程序。Apache JMeter在分布式模式下使用不安全的RMI连接存在远程命令执行漏洞,攻击者可利用漏洞执行任意命令。Apache JMeter uses an unsecure RMI connection in Distributed modeWhen using Di...

    2018年03月09日 7621 0
  • 部分品牌集中无线控制器存在通用型SQL注入

    当前广泛使用部分品牌集中无线控制器存在通用型SQL注入问题,这些品牌包括但不限于:康凯科技 - 集中无线控制器(康凯科技(杭州)有限公司)云海通讯 - 集中无线控制器(深圳市云海通讯股份有限公司)Aruba Networks - 集中无线控制器(Aruba Networks 公司)国人通信 - 集中无线控制器(深圳国人通信有限公司)中太数据 - 集中无线控制器(无锡中太数据通信股份有限公司)阿徳利...

    2018年03月08日 7981 0
  • 安天提示:警惕GLOBEIMPOSTER勒索软件

    1 概述安天安全研究与应急处理中心(Antiy CERT)的工程师在近日接到用户反馈,其服务器被勒索软件加密。经过分析判定认为该加密服务器的勒索软件是GlobeImposter家族的新变种。GlobeImposter家族在2017年5月份被首次发现,目前发现的样本没有内网传播功能,一般使用包含混淆的JaveScript脚本的垃圾邮件进行传播,加密用户文件并勒索比特币。此次发现的样本为GlobeIm...

    2018年02月09日 3960 0
  • 3个泄露的NSA漏洞利用工具重写 通杀所有Windows版本 附Exp

    描述       2017年4月份https://www.secfree.com/article-4.html,Shadow Broker 影子经纪人 泄露过的三个NSA漏洞近期被作出修改,现在可以攻击Windows 2000到Server 2016的所有标准和工作站版本。Github已经公开了相关资料。    &nb...

    2018年02月06日 29688 0
  • Jackson-databind CVE-2017-17485

    Jackson-databind是Java中用于JSON序列化与反序列化的流行库,美国FasterXML公司的一款用于Java的数据处理工具。漏洞描述根据CVE官方的信息"FasterXML jackson-databind through 2.8.10 and 2.9.x through 2.9.3 allows unauthenticated remote code executio...

    2018年01月11日 12661 0
  • JYMUSIC 1.x 版本 前台getshell

    jymusic是一套很不错的开源跨平台音乐管理系统,个人比较喜欢他的界面风格 这套CMS现已更新至2.0版本,但在1.x版本中有一个前台getshell的漏洞一直没有人发现以v1.1.1为例,下载地址在本地搭建测试环境,访问/install.php进行安装访问前台,注册一个用户注册成功后点击右上角设置,个人资料,头像设置抓包,修改文件后缀为.php上传成功后访问个人中心,这里头像已经换了...

    2018年01月11日 10058 0

联系我们

邮件:[email protected]