安全公告
-
香港正版挂牌威胁情报周报-2020年第5周(2020.1.27-2020.2.02)
2020-02-02
一、 威胁通告FusionAuth远程代码执行漏洞【发布时间】2020-02-03 11:00:00 GMT【概述】北京时间1月28日,NVD发布了一个FusionAuth存在ApacheFreemarker模板远程命令执行(CVE-2020-7799)的漏洞;发现在FusionAuth中经过身份验证的用户可以编辑电子邮件模板(Home->Settings->EmailTemplates)或主题(Home->Settings->Themes),从而通过处理自定义模板的Apache FreeMarker引擎中的freemarker template utility Execute在底层
更多 -
【威胁通告】安卓蓝牙组件高危漏洞(CVE-2020-0022)
2020-02-02
综述近日,谷歌发布2月安卓安全补丁,其中修复了一个高危的蓝牙组件漏洞(CVE-2020-0022)。该漏洞无需用户的交互操作,在设备打开蓝牙时即可被攻击,攻击者成功利用该漏洞即可在目标系统上执行任意代码。同时研究人员还指出该漏洞可能被攻击者用来制作可以自主传播的蠕虫型漏洞。受影响的版本Android version < 10不受影响的版本Android version 10缓解措施建议受影响的安卓用户尽快升级,进行防护。若暂时无法升级,则建
更多 -
【威胁通告】FusionAuth远程命令执行(CVE-2020-7799)漏洞
2020-01-29
一 漏洞概述北京时间1月28日,NVD发布了一个FusionAuth存在ApacheFreemarker模板远程命令执行(CVE-2020-7799)的漏洞;发现在FusionAuth中经过身份验证的用户可以编辑电子邮件模板(Home->Settings->EmailTemplates)或主题(Home->Settings->Themes),从而通过处理自定义模板的Apache FreeMarker引擎中的freemarker template utility Execute在底层操作系统上执行任意命令。FusionAuth是现代的访问管理开源应用程序,可以与多
更多 -
综述近日,Apache FusionAuth发布新版本修复了一个远程代码执行漏洞。该组件利用了Apache FreeMarker模板引擎,通过验证的用户在使用Apache FusionAuth进行模板编辑时,可以利用freemarker template utility Execute在服务器上执行任意命令。受影响的版本Apache FusionAuth <= 1 10不受影响的版本Apache FusionAuth > 1 11解决方案该漏洞已经在FusionAuth 1 11版本中修复,受影响的用户请尽快更新升级进行防护。参考
更多 -
综述在Oracle官方发布的2020年1月关键补丁更新公告CPU(Critical Patch Update)中,公布了一个Weblogic WLS组件IIOP协议中的远程代码执行漏洞CVE-2020-2551。该漏洞涉及WebLogic Server核心组件,且能在WebLogic Server默认配置、无需管理员身份认证及额外交互的情况下被触发,影响面较大。攻击者可通过 IIOP 协议远程访问 Weblogic Server 服务器上的远程接口,传入恶意数据,从而获取服务器权限并在未授权情况下远
更多 -
2020-01-16
综述近日,WebARX的研究员公布了两个存在于WordPress插件中的高危身份验证绕过漏洞,利用这些漏洞,攻击者无需密码即可登录管理员帐户。两个插件分别是 InfiniteWP Client和WP Time Capsule。旨在帮助用户从一个中央服务器管理不限数量的WordPress网站,以及做备份管理。据WebARX 发布的报告中统计,InfiniteWP Client插件在300,000多个网站上有效,WP Time Capsule插件在20,000多个网站上有效。InfiniteWP Client 插
更多
