安全公告
-
综述近日,jackson-databind新版本中修复了一个由JNDI注入导致的远程代码执行漏洞CVE-2020-8840。受影响版本的 jackson-databind 中由于缺少某些xbean-reflect JNDI黑名单类,如org apache xbean propertyeditor JndiConverter,可导致攻击者使用JNDI注入的方式实现远程代码执行。参考链接:https: nvd nist gov vuln detail CVE-2020-8840受影响产品版本2 0 0 <= FasterXML jackson-databind Version <= 2 9 10 2不受
更多 -
香港正版挂牌威胁情报周报-2020年第7周(2020.2.10-2020.2.16)
2020-02-16
一、 威胁通告 微软更新多个产品高危漏洞【发布时间】2020-02-13 10:40:00 GMT【概述】北京时间2月12日,微软发布2月安全更新补丁,修复了100个安全问题,涉及InternetExplorer、MicrosoftEdge、MicrosoftExchangeServer、MicrosoftOffice等广泛使用的产品,其中包括提权和远程代码执行等高危漏洞。【链接】http: blog nsfocus net microsoft-releases-multiple-announcement-for-critical-threats DjangoSQL注入漏
更多 -
综述在上周发布的微软月度更新中,包含一个存在于SQL Server Reporting Services(SSRS)中的远程代码执行漏洞CVE-2020-0618。目前已存在针对该漏洞的 PoC,请相关用户尽快安装补丁进行防护。SQL Server Reporting Services (SSRS)是微软基于服务器的报表生成软件,它是Microsoft SQL Server服务套件的一部分,通过Web界面进行管理,可用于准备和交付各种交互式报告。SSRS应用中的功能允许经过身份验证的攻击者向受影
更多 -
综述近日,Chekmarx团队的研究人员发现并公布了Apache Dubbo中存在的一个反序列化漏洞(CVE-2019-17564)。Apache Dubbo 是一款高性能Java RPC框架。当在Dubbo应用中启用了HTTP协议进行通信时存在该漏洞,攻击者可能提交一个包含Java对象的POST请求来完全破坏Apache Dubbo的提供者实例。Dubbo HTTP实例会去反序列化JavaObjectStream中的数据,如果数据中包含一组恶意类,由于没有做任何安全过滤和检查,那么反序列化将会导
更多 -
2020-02-13
漏洞概述北京时间2月12日,微软发布2月安全更新补丁,修复了100个安全问题,涉及InternetExplorer、MicrosoftEdge、MicrosoftExchangeServer、MicrosoftOffice等广泛使用的产品,其中包括提权和远程代码执行等高危漏洞。此次安全更新修复的漏洞中,Windowsinstaller本地提权漏洞(CVE-2020-0683)的PoC已公开,且官方评级为高危,并且,微软于1月17日发布的IE代码执行0day漏洞(CVE-2020-0674)也在此次安全更新中得到了修复,
更多 -
Django SQL注入漏洞(CVE-2020-7471)威胁通告
2020-02-13
漏洞概述2月3日,Django 官方发布安全通告公布了一个通过StringAgg(分隔符)实现利用的潜在SQL注入漏洞(CVE-2020-7471)。攻击者可通过构造分隔符传递给聚合函数contrib postgres aggregates StringAgg,从而绕过转义并注入恶意SQL语句。Django是高水准的由Python编程语言驱动的一个开源Web应用程序框架,起源于开源社区。使用Django,程序员可以方便、快捷地创建高品质、易维护、数据库驱动的应用程序,应用广泛。2月11日,
更多
