组件漏洞修复建议

高危漏洞　　

fastjson <= 1.2.80 反序列化任意代码执行漏洞（fastjson <= 1.2.68漏洞以1.2.80修复建议为准）

一、漏洞描述
fastjson已使用黑白名单用于防御反序列化漏洞，经研究该利用在特定条件下可绕过默认autoType关闭限制，攻击远程服务器，风险影响较大。建议fastjson用户尽快采取安全措施保障系统安全。

特定依赖存在下影响 ≤1.2.80。
二、修复建议
1、升级到安全版本1.2.83及以上
https://github.com/alibaba/fastjson/releases/tag/1.2.83 。该版本涉及autotype行为变更，在某些场景会出现不兼容的情况，如遇到问题可以到 https://github.com/alibaba/fastjson/issues 寻求帮助。

2、fastjson在1.2.68及之后的版本中引入了safeMode，配置safeMode后，无论白名单和黑名单，都不支持autoType，可杜绝反序列化Gadgets类变种攻击（关闭autoType注意评估对业务的影响）。开启方法可参考 https://github.com/alibaba/fastjson/wiki/fastjson_safemode 。1.2.83修复了此次发现的漏洞，开启safeMode是完全关闭autoType功能，避免类似问题再次发生，这可能会有兼容问题，请充分评估对业务影响后开启。

3、因升级版本可能带来兼容性问题，可使用noneautotype版本，参考：https://github.com/alibaba/fastjson/wiki/security_update_20220523

4、迁移升级使用fastjson v2 ，可参考
https://github.com/alibaba/fastjson2/releases

Apache Kafka Connect 远程代码执行漏洞（CVE-2023-25194）

一、漏洞描述
2023年2月8日，Apache发布安全公告，修复了一个存在于 Apache Kafka中的反序列化漏洞。漏洞编号：CVE-2023-25194

攻击者在可以控制Apache Kafka Connect 客户端的情况下，可通过SASL JAAS 配置和基于 SASL 的安全协议在其上创建或修改连接器，触发JNDI代码执行漏洞。

Apache Kafka Connect 属于底层组件依赖，其前提利用条件需要视具体应用环境。

影响版本：
2.3.0 <= Apache Kafka <= 3.3.2
二、修复建议
官方已经发布安全更新 3.4.0，建议升级至安全版本。
参考连接
https://kafka.apache.org/cve-list
https://lists.apache.org/thread/vy1c7fqcdqvq5grcqp6q5jyyb302khyz

Spring Security RegexRequestMatcher 认证绕过漏洞（CVE-2022-22978）

一、漏洞描述
CVE-2022-22978 中，在Spring Security受影响版本范围内，若使用了存在特殊配置（含 .）的 RegexRequestMatcher 的情况下可能导致权限绕过。阿里云安全团队已完成相关利用分析，漏洞利用需要依赖具体代码逻辑。

受影响版本：
5.5.0 <= Spring Security < 5.5.7
5.6.0 <= Spring Security < 5.6.4
Spring Security 更早的不受支持的版本

安全版本：
Spring Security >= 5.5.7
Spring Security >= 5.6.4
Spring Security >= 5.7.0
二、修复建议
5.5.x 版本使用者建议升级至5.5.7及其以上
5.6.x 版本使用者建议升级至5.6.4及其以上
参考连接
https://security.netapp.com/advisory/ntap-20220707-0003/
https://tanzu.vmware.com/security/cve-2022-22978
https://www.oracle.com/security-alerts/cpujul2022.html

XStream 高危漏洞合集（XStream 组件反序列化漏洞以该漏洞修复版本为准）

一、漏洞描述
XStream 是一个常用的 Java 对象和 XML 相互转换的工具。近日 XStream 官方发布安全更新，修复了高危和严重漏洞如下：

Version 1.4.17
CVE-2021-39139 任意代码执行漏洞
CVE-2021-39140 可能导致拒绝服务
CVE-2021-39141 任意代码执行漏洞
CVE-2021-39144 远程命令执行漏洞
CVE-2021-39145 任意代码执行漏洞
CVE-2021-39146 任意代码执行漏洞
CVE-2021-39147 任意代码执行漏洞
CVE-2021-39148 任意代码执行漏洞
CVE-2021-39149 任意代码执行漏洞
CVE-2021-39150 SSRF漏洞（服务端请求伪造漏洞）
CVE-2021-39151 任意代码执行漏洞
CVE-2021-39152 SSRF漏洞（服务端请求伪造漏洞）
CVE-2021-39153 任意代码执行漏洞
CVE-2021-39154 任意代码执行漏洞

Version 1.4.16:
CVE-2021-29505 远程代码执行漏洞

Version 1.4.15:
CVE-2021-21341 可能导致拒绝服务
CVE-2021-21342 SSRF漏洞（服务端请求伪造漏洞）
CVE-2021-21343 当进程具有足够权限时，可导致本地主机任意文件删除漏洞
CVE-2021-21344 任意代码执行漏洞
CVE-2021-21345 远程命令执行漏洞
CVE-2021-21346 任意代码执行漏洞
CVE-2021-21347 任意代码执行漏洞
CVE-2021-21348 可能导致拒绝服务
CVE-2021-21349 SSRF漏洞（服务端请求伪造漏洞）
CVE-2021-21350 任意代码执行漏洞
CVE-2021-21351 任意代码执行漏洞
二、修复建议
针对使用到 XStream 组件的 web 服务升级至最新版本：http://x-stream.github.io/changes.html

受影响的版本：
XStream <= 1.4.17

安全版本：
XStream >= 1.4.18
参考连接
https://help.aliyun.com/noticelist/articleid/1060818124.html

 

Apache Shiro RequestDispatcher 权限绕过漏洞（CVE-2022-40664）（其余Apache Shiro漏洞修复版本以该漏洞修复版本为准）

一、漏洞描述
2022年10月12日，Apache 官方披露 CVE-2022-40664 Apache Shiro 权限绕过漏洞。Shiro 1.10.0 之前版本，在代码中使用RequestDispatcher进行转发时可能存在认证绕过漏洞。

二、修复建议
目前该漏洞已经修复，受影响用户可以升级到Apache Shiro 1.11.0或更高版本，官方链接：https://shiro.apache.org/download.html

 

 

Apache Shiro RegExPatternMatcher 权限绕过漏洞（CVE-2022-32532）

一、漏洞描述
2022年6月29日，Apache 官方披露 CVE-2022-32532 Apache Shiro 权限绕过漏洞。Shiro 1.9.1 之前版本，在代码中使用了 RegExPatternMatcher 和 . 正则表达式的情况下可能存在权限绕过。漏洞利用需要依赖代码具体写法，无法自动化利用，风险较低。

安全版本
Apache Shiro version 1.9.1

二、修复建议
若代码存在相应写法，建议升级至1.9.1版本及其以上。
参考链接
https://github.com/4ra1n/CVE-2022-32532

 

Apache Commons Text StringLookup 远程代码执行漏洞（CVE-2022-42889）

一、漏洞描述
Apache Commons Text 1.10.0 版本之前允许对文本进行相关的变量解析。CVE-2022-42889 中，在Apache Commons Text 1.5 ～1.9 版本中，攻击者可构造恶意文本，使得Apache Commons Text 在解析时执行任意代码，控制服务器。漏洞利用需要具体代码依赖。

影响版本
1.5 <= Apache Commons Text <= 1.9

安全版本
Apache Commons Text 1.10.0

二、修复建议
官方已发布安全更新，请尽快升级至1.10.0版本及其以上。
参考连接
http://packetstormsecurity.com/files/171003/OX-App-Suite-Cross-Site-Scripting-Server-Side-Request-Forgery.html

 

Apache Log4j2 远程代码执行漏洞（CVE-2021-44228）

一、漏洞描述
Apache Log4j2是一款优秀的Java日志框架。2021年11月24日，阿里云安全团队向Apache官方报告了Apache Log4j2远程代码执行漏洞。由于Apache Log4j2某些功能存在递归解析功能，攻击者可直接构造恶意请求，触发远程代码执行漏洞。漏洞利用无需特殊配置，经阿里云安全团队验证，Apache Struts2、Apache Solr、Apache Druid、Apache Flink等均受影响。

2021年12月10日，阿里云安全团队发现 Apache Log4j 2.15.0-rc1 版本存在漏洞绕过
2021年12月15日，Apache 官方发布Log4j 2.16.0 以及 2.12.2 版本，修复 CVE-2021-45046 Apache Log4j 拒绝服务漏洞
2021年12月17日，Apache 官方将 CVE-2021-45046 漏洞 CVSS 评分从 3.7 分上调到 9.0 分

阿里云应急响应中心提醒 Apache Log4j2 用户尽快采取安全措施阻止漏洞攻击。

二、修复建议
1、排查应用是否引入了Apache log4j-core Jar包，若存在依赖引入，且在受影响版本范围内，则可能存在漏洞影响。同时为了避免在Apache Log4j 2.15.0版本中某些自定义配置而可能导致的JNDI注入或拒绝服务攻击，请尽快升级Apache Log4j2所有相关应用到 2.16.0 或者 2.12.2 及其以上版本，地址 https://logging.apache.org/log4j/2.x/download.html 。

2、对于 Java 8 及其以上用户，建议升级 Apache Log4j2 至 2.17.0 及以上版本。

3、对于 Java 7 用户，建议升级至 Apache Log4j 2.12.3 及以上版本，该版本为安全版本，用于解决兼容性问题。

4、对于其余暂时无法升级版本的用户，建议删除JndiLookup，可用以下命令
zip -q -d log4j-core-*.jar org/apache/logging/log4j/core/lookup/JndiLookup.class

5、升级已知受影响的应用及组件，如 spring-boot-starter-log4j2/Apache Struts2/Apache Solr/Apache Druid/Apache Flink

6、其余临时缓解方案可参见
https://logging.apache.org/log4j/2.x/security.html 。目前已有安全版本，强烈建议不要采用临时缓解方案进行防御。

 

Apache Dubbo 高危漏洞合集

一、漏洞描述
Apache Dubbo是一款应用广泛的Java RPC分布式服务框架。2021年6月24日，国外安全研究人员披露Apache Dubbo多个高危漏洞详情：

CVE-2021-25641 中，攻击者可利用其他协议绕过Hessian2黑名单造成反序列化。
CVE-2021-30179 中，Apache Dubbo Generic filter存在过滤不严，攻击者可构造恶意请求调用恶意方法从而造成远程代码执行。
CVE-2021-32824 中，Apache Dubbo Telnet handler在处理相关请求时，允许攻击者调用恶意方法从而造成远程代码执行。
CVE-2021-30180 中，Apache Dubbo多处使用了yaml.load，攻击者在控制如ZooKeeper注册中心后可上传恶意配置文件从而造成了Yaml反序列化漏洞。
CVE-2021-30181 中，攻击者在控制如ZooKeeper注册中心后可构造恶意请求注入Nashorn脚本，造成远程代码执行。

影响版本：
Apache Dubbo 2.5.0 < 2.6.10
Apache Dubbo 2.5.x 所有版本 (官方不再提供支持)
Apache Dubbo 2.7.x <= 2.7.17
Apache Dubbo 3.0.x <= 3.0.11
Apache Dubbo 3.1.x <= 3.1.0

安全版本：
Apache Dubbo 2.6.12
Apache Dubbo 2.7.18
Apache Dubbo 3.0.12
Apache Dubbo 3.1.1

二、修复建议
1、升级 Apache Dubbo 至最新版本
2、利用阿里云安全组功能设置 Apache Dubbo 相关端口仅对可信地址开放。
参考链接：https://help.aliyun.com/noticelist/articleid/1060863479.html
https://help.aliyun.com/document_detail/390193.html
Apache Dubbo反序列化漏洞（CVE-2020-1948）修复版本与该漏洞修复版本一致

 

Apache Dubbo Provider dubbo协议反序列化漏洞

一、漏洞描述
Apache Dubbo是一款应用广泛的Java RPC分布式服务框架。Apache Dubbo于2020年6月23日披露在Dubbo Provider中存在一个反序列化远程代码执行漏洞（CVE-2020-1948），攻击者可以构造并发送带有恶意参数负载的RPC请求，当恶意参数被反序列化时将导致远程代码执行。阿里云应急响应中心提醒Apache Dubbo用户尽快采取安全措施阻止漏洞攻击。

二、修复建议
1.建议将Dubbo升级至最新版本。

2. 禁止将Dubbo服务端端口开放给公网，或仅仅只对能够连接至Dubbo服务端的可信消费端IP开放。

3. Dubbo协议默认采用Hessian作为序列化反序列化方式，该反序列化方式存在反序列化漏洞。在不影响业务的情况下，建议更换协议以及反序列化方式。具体更换方法可参考：
http://dubbo.apache.org/zh-cn/docs/user/references/xml/dubbo-protocol.html

Apache Dubbo Hessian-Lite 远程代码执行漏洞（CVE-2021-43297）

一、漏洞描述
Dubbo是一个高性能优秀的服务框架。CVE-2021-43297中，在Dubbo Hessian-Lite 3.2.11及之前版本中存在潜在RCE攻击风险。Hessian-Lite在遇到序列化异常时会输出相关信息，这可能导致触发某些恶意定制的Bean的toString方法，从而引发远程代码执行。

二、修复建议
请根据您使用的Dubbo版本，升级到指定版本。具体建议如下：
1、使用Dubbo 2.6.x的用户，请升级到2.6.12。
2、使用Dubbo 2.7.x的用户，请升级到2.7.22。
3、使用Dubbo 3.0.x的用户，请升级到3.0.14。

Apache Dubbo 反序列化远程代码执行漏洞（CVE-2023-23638）

一、漏洞描述
Dubbo是一个高性能优秀的服务框架。CVE-2023-23638 中，在Dubbo 旧版本中存在反序列化漏洞，攻击者在可访问到dubbo服务的情况下可构造恶意请求触发反序列化，执行任意代码。

影响范围
Apache Dubbo 2.7.x <= 2.7.21
Apache Dubbo 3.0.x <= 3.0.13
Apache Dubbo 3.1.x <= 3.1.5

安全版本
Apache Dubbo 2.7.22
Apache Dubbo 3.0.14
Apache Dubbo 3.1.6
二、修复建议
请根据您使用的Dubbo版本，升级到安全版本。具体建议如下：
安全版本
Apache Dubbo 2.7.22
Apache Dubbo 3.0.14
Apache Dubbo 3.1.6
参考链接
https://github.com/apache/dubbo/releases

 

Apache Hadoop FileUtil.unTar 命令注入漏洞（CVE-2022-25168）（其余Hadoop漏洞修复版本以该漏洞修复版本为准）

一、漏洞描述
2022年8月4日，Apache Hadoop官方披露修复了一个命令注入漏洞。由于Apache Hadoop的FileUtil.unTar API在传递shell之前未对输入的文件名进行转义，攻击者可以利用该漏洞注入任意命令。

影响版本：
2.0.0 <= Apache Hadoop <= 2.10.1
3.0.0-alpha <= Apache Hadoop <= 3.2.3
3.3.0 <= Apache Hadoop <= 3.3.2

安全版本
Apache Hadoop 2.10.2
Apache Hadoop 3.2.4
Apache Hadoop 3.3.3

二、修复建议
1.官方已发布安全更新，可更新至2.10.2,3.2.4,3.3.3或更高的安全版本。
参考连接
https://lists.apache.org/thread/mxqnb39jfrwgs3j6phwvlrfq4mlox130

 

Spring Data MongoDB SpEL表达式注入漏洞（CVE-2022-22980）

一、漏洞描述
Spring Data MongoDB 为 Spring Data 下的子项目，用于为 MongoDB 提供接口服务，便于接入 Spring 软件生态中使用。当使用 @Query 或 @Aggregation 注解进行查询时，若通过 SpEL 占位符获取输入参数，并且未对用户输入进行有效过滤，则可能受该漏洞影响。在前述条件下，攻击者可利用该漏洞，构造恶意数据执行远程代码，最终获取服务器权限。

影响范围：
Spring Data MongoDB 3.4.0
3.3.0 ≤ Spring Data MongoDB ≤ 3.3.4
其余已经不受支持的老版本均受影响
二、修复建议
1.官方已发布安全更新，可更新至安全版本。
参考连接
官方已发布新版本3.4.1以及 3.3.5，建议升级至安全版本及其以上，可见 https://spring.io/projects/spring-data-mongodb

 

Grails 远程代码执行漏洞（CVE-2022-35912）

一、漏洞描述
Grails 框架支持data-binding，攻击者可构造恶意请求利用该机制获取到相关的 class loader，从而可执行任意代码控制服务器。

安全版本：
5.2.1
5.1.9
4.1.1
3.3.15
二、修复建议
1.升级至安全或最新版本。
参考连接
http://www.openwall.com/lists/oss-security/2022/07/20/4

 

Apache Log4j Server 反序列化命令执行漏洞（CVE-2017-5645）

一、漏洞描述
Apache Log4j是当前在J2EE和J2SE开发中用得最多的日志框架。

Apache Log4j 2.8.2之前的2.x版本存在远程代码执行漏洞。允许攻击者利用漏洞在受影响的应用程序的上下文中执行任意代码。
二、修复建议
1.升级到 Log4j 2.3.2（适用于 Java 6）、2.12.4（适用于 Java 7）或 2.17.1（适用于 Java 8 ）及更高的安全版本。
参考连接
http://www.openwall.com/lists/oss-security/2019/12/19/2

 

Spring Framework JDK >= 9 远程代码执行漏洞（CVE-2022-22965）（其余Spring Framework漏洞修复版本以该漏洞修复版本为准）

一、漏洞描述
2022年3月31日，Spring官方发布安全公告，披露CVE-2022-22965 Spring Framework 远程代码执行漏洞。由于Spring框架存在处理流程缺陷，攻击者可在远程条件下，实现对目标主机的后门文件写入和配置修改，继而通过后门文件访问获得目标主机权限。使用Spring框架或衍生框架构建网站等应用，且同时使用JDK版本在9及以上版本的，易受此漏洞攻击影响。
二、修复建议
截止2022年3月31日，官方已发布安全版本5.3.18/5.2.20修复该漏洞。

 

(一) WAF 防护

在 WAF 等网络防护设备上，根据实际部署业务的流量情况，实现对"class.*","Class.*",".class.*","*.Class.*"等字符串的规则过滤，并在部署过滤规则后，对业务运行情况进行测试，避免产生额外影响。

(二) 临时修复措施（未验证，慎用）

可按照以下措施进行缓解，两步需同时进行，且使用时请根据自身业务情况进行调整:

1、在应用中全局搜索@InitBinder注解，看看方法体内是否调用dataBinder.setDisallowedFields方法，如果发现此代码片段的引入，则在原来的黑名单中，添加{"class.*","Class. *","*. class.*", "*.Class.*"}。 (注:如果此代码片段使用较多,需要每个地方都追加)

2、在应用系统的项目包下新建以下全局类，并保证这个类被Spring 加载到(推荐在Controller 所在的包中添加).完成类添加后，需对项目进行重新编译打包和功能验证测试。并重新发布项目。
import org.springframework.core.annotation.Order;
import org.springframework.web.bind.WebDataBinder;
import org.springframework.web.bind.annotation.ControllerAdvice;
import org.springframework.web.bind.annotation.InitBinder;
@ControllerAdvice
@Order(10000)
public class GlobalControllerAdvice{
@InitBinder
public void setAllowedFields(webdataBinder dataBinder){
String[]abd=new string[]{"class.*","Class.*","*.class.*","*.Class.*"};
dataBinder.setDisallowedFields(abd);
}
}

(三) 升级官方最新安全版本 >= 5.3.26/5.2.22

参考连接
https://spring.io/projects/spring-framework#learn
HAProxy整数溢出漏洞（CVE-2021-40346）
一、漏洞描述
HAProxy 是一款提供高可用性、负载均衡以及基于TCP（第四层）和HTTP（第七层）应用的代理软件。
HAProxy 存在整数溢出漏洞，攻击者可以绕过对重复 HTTP Content-Length标头的检查，从而允许请求走私攻击或响应拆分攻击。

影响版本：
2.0.0<= haproxy <2.0.25
2.2.0<= haproxy <2.2.17
2.3.0<= haproxy <2.3.14
2.4.0<= haproxy <2.4.4

修复版本：
2.0.25
2.2.17
2.3.14
2.4.4
二、修复建议
1.建议将该软件升级至修复版本或最新版本。
参考连接
https://git.haproxy.org/?p=haproxy.git

Zookeeper 未授权访问漏洞

一、漏洞描述
ZooKeeper是一个开放源码的分布式应用程序协调服务，提供的功能包括:配置维护、名字服务、分布式同步、组服务等。ZooKeeper默认开启在2181端口，在未进行任何访问控制情况下，攻击者可通过执行envi等多种命令获得系统大量的敏感信息，包括系统名称、Java环境。
影响版本：
2.0.0<= haproxy <2.0.25
2.2.0<= haproxy <2.2.17
2.3.0<= haproxy <2.3.14
2.4.0<= haproxy <2.4.4

修复版本：
2.0.25
2.2.17
2.3.14
2.4.4
二、修复建议
1.建议将该软件升级至修复版本或最新版本。
参考连接
https://git.haproxy.org/?p=haproxy.git

 

Hadoop 未授权访问漏洞

一、漏洞描述
Hadoop 是一个由 Apache 基金会所开发的分布式系统基础架构。用户可以在不了解分布式底层细节的情况下，开发分布式程序。充分利用集群进行高速运算和存储。
Hadoop 未授权访问漏洞源自于服务器直接对外开放了 Hadoop HDFS 的 web端口 50070及其他默认端口,攻击者可以通过访问 NameNode WebUI 管理界面，执行下载任意文件等危害操作。
二、修复建议
1. 建议不要将 Hadoop 服务对外开放；
2.启用安全认证功能。（ Hadoop 在2.x版本以上提供了安全认证功能，加入了 Kerberos 认证机制）

Hadoop YARN ResourceManager 未授权访问漏洞与该漏洞修复版本相同

参考链接
https://www.hacking8.com/bug-product/Hadoop/Hadoop%E6%9C%AA%E6%8E%88%E6%9D%83%E8%AE%BF%E9%97%AE.html

Nacos API 认证绕过漏洞（CVE-2021-29441）

一、漏洞描述
Nacos 提供了一组简单易用的特性集，帮助您快速实现动态服务发现、服务配置、服务元数据及流量管理。CVE-2021-29441中，攻击者通过添加Nacos-Server的User-Agent头部将可绕过认证，从而进行API操作。
二、修复建议
1. 建议您更新当前系统或软件至最新版，完成漏洞的修复。
参考连接
https://github.com/advisories/GHSA-36hp-jr8h-556f

 

Spring Boot Actuator 未授权访问远程代码执行漏洞

一、漏洞描述
2019年2月28日，阿里云云盾应急响应中心监测到有国外安全研究人员披露Spring Boot Actuator模块中间件存在未授权访问远程代码执行漏洞。

漏洞描述

Actuator是Spring Boot提供的服务监控和管理中间件，默认配置会出现接口未授权访问，部分接口会泄露网站流量信息和内存信息等，使用Jolokia库特性甚至可以远程执行任意代码，获取服务器权限。

漏洞评级

严重

影响版本

全版本且无安全配置

二、修复建议
禁用所有接口，将配置改成：

endpoints.enabled = false

或者引入spring-boot-starter-security依赖：

org.springframework.boot
spring-boot-starter-security

开启security功能，配置访问权限验证，类似配置如下：

management.port=8099
management.security.enabled=true
security.user.name=xxxxx
security.user.password=xxxxxx
参考连接
https://help.aliyun.com/noticelist/articleid/1000109082.html

Elasticsearch Kibana 命令注入漏洞（CVE-2019-7609）
Elasticsearch Kibana 命令注入漏洞（CVE-2019-7610）

一、漏洞描述
5.6.15和6.6.1之前的Kibana版本在Timelion可视化工具中包含任意代码执行缺陷。有权访问Timelion应用程序的攻击者可以发送将尝试执行javascript代码的请求。这可能导致攻击者在主机系统上以Kibana进程的权限执行任意命令。

Elasticsearch Kibana 命令注入漏洞（CVE-2019-7610）
Kibana apis 任意文件读取漏洞
修复版本与该漏洞相同
二、修复建议
1.升级至5.6.16,6.6.2安全版本或最新版本。
参考连接
https://access.redhat.com/errata/RHBA-2019:2824

 

MySQL 远程代码执行/权限提升漏洞（CVE-2016-6662）

一、漏洞描述
Oracle MySQL是美国甲骨文（Oracle）公司的一套开源的关系数据库管理系统。该数据库系统具有性能高、成本低、可靠性好等特点。 Oracle MySQL中的配置文件（my.cnf）存在远程代码执行漏洞。攻击者（本地或远程）可通过授权访问MySQL数据库（网络连接或类似phpMyAdmin的Web接口）或SQL注入方式，利用该漏洞向配置文件中注入恶意的数据库配置，导致以root权限执行任意代码，完全控制受影响的服务器。以下版本受到影响：Oracle MySQL 5.5.52及之前的版本，5.6.x至5.6.33版本，5.7.x至5.7.15版本；MariaDB 5.5.51之前的版本，10.0.27之前的10.0.x版本，10.1.17之前的10.1.x版本；Percona Server 5.5.51-38.1之前的版本，5.6.32-78.0之前的5.6.x版本，5.7.14-7之前的5.7.x版本。
二、修复建议
1.目前厂商已经发布了升级补丁以修复此安全问题，补丁获取链接： http://www.mysql.com/

 

Apache Tomcat Session 反序列化代码执行漏洞（CVE-2020-9484）

一、漏洞描述
Apache Tomcat是由Apache软件基金会属下Jakarta项目开发的Servlet容器。攻击者可能可以构造恶意请求，造成反序列化代码执行漏洞。成功利用该漏洞需要同时满足下列四个条件：

1. 攻击者能够控制服务器上文件的内容和名称

2. 服务器PersistenceManager配置中使用了FileStore

3. 服务器PersistenceManager配置中设置了sessionAttributeValueClassNameFilter为NULL，或者使用了其他较为宽松的过滤器，允许攻击者提供反序列化数据对象

4. 攻击者知道使用的FileStore存储位置到可控文件的相对文件路径。

整体利用条件较为苛刻，实际危害相对较低，为彻底防止漏洞潜在风险，阿里云应急响应中心仍建议Apache Tomcat用户修复漏洞。
二、修复建议
1. 升级Apache Tomcat至最新版本

2. 禁止使用Session持久化功能FileStore
参考连接
http://lists.opensuse.org/opensuse-security-announce/2020-05/msg00057.html

 

Apache Flink REST API 文件写入漏洞

一、漏洞描述
Flink核心是一个流式的数据流执行引擎，其针对数据流的分布式计算提供了数据分布、数据通信以及容错机制等功能。Flink 1.5.1引入了REST API，但其实现上存在多处缺陷，导致目录遍历和任意文件写入漏洞，风险较大。

Apache Flink REST API 文件读取漏洞
修复方案与该漏洞相同
二、修复建议
升级至1.5.2安全版本或最新版本。
参考连接
http://www.openwall.com/lists/oss-security/2021/01/05/1

Apache Shiro <= 1.2.4 默认密钥致命令执行漏洞

一、漏洞描述
Apache Shiro是美国阿帕奇（Apache）软件基金会的一套用于执行认证、授权、加密和会话管理的Java安全框架。 Apache Shiro 1.0.0版本至1.2.4版本中存在信息泄露漏洞，该漏洞源于程序未能正确配置&lsquo;remember me&rsquo;功能使用的密钥。攻击者可通过发送带有特制参数的请求利用该漏洞执行任意代码或访问受限制内容。
二、修复建议
目前厂商已经发布了升级补丁以修复此安全问题，补丁获取链接： http://shiro.apache.org/download.html

 

Apache Shiro Padding Oracle漏洞可导致远程命令执行漏洞（CVE-2019-12422）

一、漏洞描述
Apache Shiro是美国阿帕奇（Apache）软件基金会的一套用于执行认证、授权、加密和会话管理的Java安全框架。
Apache Shiro 1.4.2之前版本中存在安全漏洞。当Apache Shiro使用了默认的&lsquo;记住我&rsquo;配置时，攻击者可利用该漏洞对cookies实施填充攻击。
二、修复建议
厂商已发布了漏洞修复程序，请及时关注更新：
https://lists.apache.org/thread.html/c9db14cfebfb8e74205884ed2bf2e2b30790ce24b7dde9191c82572c@%3Cdev.shiro.apache.org%3E

中危漏洞

Apache Log4j2 < 2.17.0 (>=Java 8 环境) 拒绝服务漏洞（CVE-2021-45105）

一、漏洞描述
CVE-2021-45105的Apache Log4j2拒绝服务攻击漏洞，当系统日志配置使用非默认的模式布局和上下文查找时，攻击者可以通过构造包含递归查找数据包的方式，控制线程上下文映射 (MDC)，导致StackOverflowError产生并终止进程，实现拒绝服务攻击。该漏洞已于Log4j2版本2.17.0、2.12.3、2.3.1修复。仅使用log4j-api JAR文件而不使用log4j-core JAR文件的应用程序不受此漏洞的影响。
二、修复建议
1、>=Java 8 环境升级至2.17.0及以上版本；
2、Java 7 升级至2.12.3，Java 6 升级至2.3.1.
参考连接
http://www.openwall.com/lists/oss-security/2021/12/19/1

Apache POI 4.1.0 XSSFExportToXml Document XML External Entity

一、漏洞描述
在 Apache POI 4.1.0 及之前版本，当使用 XSSFExportToXml 工具转换用户提供的 Microsoft Excel 文档时，经过特殊设计的文档允许攻击者通过 XML 外部实体(XXE)处理从本地文件系统或内部网络资源读取文件。
二、修复建议
1、升级至4.1.1安全版本
参考连接
https://lists.apache.org/thread.html/13a54b6a03369cfb418a699180ffb83bd727320b6ddfec198b9b728e@%3Cannounce.apache.org%3E

Apache POI <= 4.1.0 XSSFExportToXml XXE漏洞

一、漏洞描述
在 Apache POI 4.1.0 及之前版本，当使用 XSSFExportToXml 工具转换用户提供的 Microsoft Excel 文档时，经过特殊设计的文档允许攻击者通过 XML 外部实体(XXE)处理从本地文件系统或内部网络资源读取文件。
二、修复建议
1、升级至4.1.1及以上安全版本
参考连接
https://lists.apache.org/thread.html/13a54b6a03369cfb418a699180ffb83bd727320b6ddfec198b9b728e@%3Cannounce.apache.org%3E

Apache Shiro < 1.7.0 权限绕过漏洞集合

三、漏洞描述
<tt><big><small>Apache Shiro是一个应用广泛的权限管理的用户认证与授权框架。<br />
近日，Apache Shiro发布1.7.0版本，修复了 Apache Shiro 身份验证绕过漏洞 (CVE-2020-17510)。<br />
攻击者可以使用包含payload的恶意请求绕过Shiro的身份认证。</small></big></tt> 。
一、修复建议
影响版本：< 1.7.0
目前厂商已经发布了升级补丁以修复此安全问题，请及时下载更新:
https://shiro.apache.org/news.html?#1.7.0-released

FasterXML jackson-databind 2.x logback/JNDI 反序列化漏洞（CVE-2019-14439）

一、漏洞描述
2019年7月31日，阿里云应急响应中心监测到有安全研究人员披露Jackson最新反序列化远程代码执行漏洞(CVE-2019-14361和CVE-2019-14439)，针对CVE-2019-12384漏洞绕过，利用可导致远程执行服务器命令，官方git已发布公告说明，请使用到Jackson的用户尽快升级至安全版本。

近日，Jackson官方github仓库发布安全issue，涉及漏洞CVE-2019-14361和CVE-2019-14439，均为针对CVE-2019-12384漏洞的绕过利用方式，当用户提交一个精心构造的恶意JSON数据到WEB服务器端时，可导致远程任意代码执行。阿里云应急响应中心提醒Jackson用户尽快采取安全措施阻止漏洞攻击。

风险评级

CVE-2019-14439 高危

CVE-2019-14361 高危

影响版本

jackson-databind < 2.9.9.2

jackson-databind < 2.7.9.6

jackson-databind < 2.8.11.4

jackson-databind < 2.6.7.3

安全版本

jackson-databind >= 2.9.9.2

jackson-databind >= 2.7.9.6

jackson-databind >= 2.8.11.4

jackson-databind >= 2.6.7.3

安全建议

针对使用到jackson-databind组件的web服务升级jackson相关组件至最新版本，下载链接参考：
https://repo1.maven.org/maven2/com/fasterxml/jackson/core/jackson-databind/。
二、修复建议
1、针对使用到jackson-databind组件的web服务器升级jackson相关组件至最新版本：https://github.com/FasterXML/jackson-databind/issues/2334

MyBatis 远程代码执行漏洞（CVE-2020-26945）

一、漏洞描述
2020年10月6日，MyBatis官方发布了MyBatis 3.5.6版本，修复了一个远程代码执行漏洞，该漏洞编号为CVE-2020-26945。
3.5.6版本之前的MyBatis错误处理对象流的反序列化，攻击者通过此漏洞可以触发远程代码执行。
二、修复建议
1、升级至最新版本3.5.13
获取链接：
https://github.com/mybatis/mybatis-3/releases/tag/mybatis-3.5.13

 

Spring MVC 反射型文件下载漏洞

一、漏洞描述
&nbsp;在Spring Framework中，5.2.3之前的版本5.2.x，5.1.13之前的版本5.1.x，5.0.16之前的版本5.0.x，当应用程序在响应中设置“Content-Disposition”头时，当文件名属性来自用户提供的输入时，它容易受到反射文件下载(RFD)攻击。
二、修复建议
1、厂商已发布了漏洞修复程序，请及时关注更新：
https://spring.io/
修复版本参考Spring Framework JDK >= 9 远程代码执行漏洞（CVE-2022-22965）漏洞

Grafana avatar SSRF与拒绝服务漏洞

一、漏洞描述
Grafana是Grafana实验室的一套提供可视化监控界面的开源监控工具。该工具主要用于监控和分析Graphite、InfluxDB和Prometheus等。 Grafana 3.0.1版本至7.0.1版本中的avatar功能存在远程代码执行漏洞，该漏洞源于不正确的访问控制。远程攻击者可利用该漏洞使其向任意URL发送请求，获取返回的信息（包括Grafana运行的网络）。
二、修复建议
目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
https://grafana.com/blog/2020/06/03/grafana-6.7.4-and-7.0.2-released-with-important-security-fix/

Apache Calcite XML External Entity (XEE) 漏洞（CVE-2022-39135）

一、漏洞描述
Apache Calcite 是一种提供了标准的 SQL 语言、多种查询优化和连接各种数据源基础框架。CVE-2022-39135 中，EXISTS_NODE,、EXTRACT_XML、XML_TRANSFORM以及EXTRACT_VALUE等SQL操作中存在XXE漏洞，攻击者可在特定条件下利用这些SQL操作读取系统文件，造成敏感信息泄漏。
二、修复建议
官方已发布安全更新。Apache Calcite 1.32.0 已修复该漏洞，建议升级至Apache Calcite 1.32.0 及其以后版本。
参考连接
http://www.openwall.com/lists/oss-security/2022/11/21/3

Apache Tomcat 拒绝服务漏洞 (CVE-2022-29885)

一、漏洞描述
Apache Tomcat 存在拒绝服务漏洞，当 Tomcat 开启集群配置，且通过 NioReceiver 通信时，无论服务端是否配置 EncryptInterceptor，攻击者均可构造特制请求导致目标服务器拒绝服务。

漏洞利用实际需要特殊配制，实际风险较低。云安全中心漏洞检测采用版本比对，若您确定您服务器配置不受漏洞影响，建议忽略该漏洞。

影响版本：
1. 在服务端Tomcat集群配置中若没有配置EncryptInterceptor，Apache Tomcat全版本均受影响；

2. 在服务端Tomcat集群配置中若配置EncryptInterceptor，Apache Tomcat受影响版本如下：

10.1.0-M1 <= Apache Tomcat <= 10.1.0-M14

10.0.0-M1 <= Apache Tomcat <= 10.0.20

9.0.13 <= Apache Tomcat <= 9.0.62

8.5.38 <= Apache Tomcat <= 8.5.78
二、修复建议
建议您更新当前系统或软件至最新版，完成漏洞的修复。
参考连接
https://lists.apache.org/thread/2b4qmhbcyqvc7dyfpjyx54c03x65vhcv

Hazelcast 代码执行漏洞（CVE-2016-10750）

一、漏洞描述
Hazelcast是美国Hazelcast公司的一套可扩展的开源数据分发平台。该平台支持多种分布式数据结构，支持分布式缓存等功能。

Hazelcast 3.11之前版本中存在安全漏洞。攻击者可利用该漏洞执行代码。
二、修复建议
目前厂商已发布升级补丁以修复漏洞，补丁获取链接：

https://github.com/hazelcast/hazelcast/pull/12230

Spring Cloud Config Server 目录遍历漏洞

一、漏洞描述
VMware Spring Cloud Config是美国威睿（VMware）公司的一套分布式系统的配置管理解决方案。该产品主要为分布式系统中的外部配置提供服务器和客户端支持。 VMware Spring Cloud Config 2.2.3之前的2.2.x版本、2.1.9之前的2.1.x版本和不再受支持的旧版本中的Spring-cloud-config-server模块存在路径遍历漏洞，该漏洞源于程序没有正确验证用户请求。攻击者可借助特制URL利用该漏洞查看系统上的任意文件。
二、修复建议
升级至2.2.3或更高的安全版本。
参考连接
https://tanzu.vmware.com/security/cve-2020-5410

PostgreSQL任意代码执行漏洞 CVE-2019-9193

一、漏洞描述
PostgreSQL是一款功能强大的数据库软件，可运行在所有主流操作系统上，包括Linux、Windows、Mac OS X等。PostgreSQL &gt;=9.3版本，在导入导出数据的命令“COPY TO/FROM PROGRAM””中存在安全漏洞，“pg_read_server_files”组内用户执行上述命令后，可获取数据库超级用户权限，从而执行任意系统命令。
二、修复建议
升级至15.2, 14.7, 13.10, 12.14,11.19或更高的安全版本。
参考连接
https://www.postgresql.org/about/

Apache Tomcat WebSocket 拒绝服务漏洞

一、漏洞描述
Apache Tomcat是由Apache软件基金会属下Jakarta项目开发的Servlet容器。Tomcat官方于7月份修复了CVE-2020-13935 websocket 拒绝服务漏洞。近日，国外某安全团队公开了相关poc代码，在受影响版本内的Tomcat开启websocket的情况下将会导致拒绝服务。阿里云应急响应中心提醒Tomcat用户尽快采取安全措施阻止漏洞攻击。
二、修复建议
1. 升级至Apache Tomcat至安全版本及其以上。

2. 若无特殊需要，关闭Tomcat Websocket功能，删除example下的websocket示例。
参考连接
http://lists.opensuse.org/opensuse-security-announce/2020-07/msg00084.html

 

Spring MVC 目录穿越漏洞（CVE-2018-1271）

一、漏洞描述
Pivotal Spring Framework是美国Pivotal Software公司的一套开源的Java、Java EE应用程序框架。

Pivotal Spring Framework存在目录遍历漏洞。远程攻击者可以使用目录遍历字符（“..”）来访问这个包含敏感信息的任意文件。
二、修复建议
用户可参考如下供应商提供的安全公告获得补丁信息：
https://www.anquanke.com/post/id/104401

 

XStream < 1.4.15 任意文件删除漏洞

一、漏洞描述
暂无。
二、修复建议
建议您更新当前系统或软件至最新版，完成漏洞的修复。（修复版本以XStream 高危漏洞合集修复版本为准）
低危漏洞
Apache Flex BlazeDS XXE漏洞
一、漏洞描述
Apache Flex BlazeDS 是基于服务器的 Java 远程和 Web 消息技术，允许开发者简单连接到后端分布式数据和实时推送数据到 Adobe(r) Flex(r) 和 Adobe AIR(tm) 应用。

Apache Flex BlazeDS 小于4.7.1的版本容易受到 XML 外部实体 (XXE) 注入的影响。漏洞存在于BlazeDS 远程/AMF协议实现中，远程攻击者可以通过包含 XML 外部实体声明和实体引用的 AMF 消息读取任意文件。
二、修复建议
建议升级该软件至4.7.1及更好的安全版本。
参考连接
http://marc.info/?l=bugtraq&m=145706712500978&w=2

 

Postgresql 本地提权漏洞（CVE-2020-25695）

一、漏洞描述
PostgreSQL是Postgresql组织的一套自由的对象关系型数据库管理系统。该系统支持大部分SQL标准并且提供了许多其他特性，例如外键、触发器、视图等。 PostgreSQL 12.5之前版本中存在SQL注入漏洞，攻击者可利用该漏洞有权在至少一个模式中创建非临时对象，可以以超级用户的身份执行任意SQL函数。
二、修复建议
目前厂商已发布升级补丁以修复漏洞，补丁获取链接： https://www.postgresql.org/support/security/

 

Spring Framework 至 4.3.16/5.0.5 STOMP Regular Expression 输入验证漏洞

一、漏洞描述
Pivotal Spring Framework是美国Pivotal Software公司的一套开源的Java、Java EE应用程序框架。该框架可帮助开发人员构建高质量的应用。

Pivotal Spring Framework 5.0.6之前的5.0.x版本、4.3.17之前的4.3.x版本及已不再支持的老版本中存在安全漏洞。攻击者可通过构建消息利用该漏洞造成拒绝服务。
。
二、修复建议
升级至安全版本5.0.6、4.3.17
相关链接：
https://pivotal.io/security/cve-2018-1257

Apache Log4j2 远程代码执行漏洞（CVE-2021-44832）

一、漏洞描述
Apache Log4j2 版本 2.0-beta7 到 2.17.0（不包括安全修复版本 2.3.2 和 2.12.4）容易受到远程代码执行 (RCE) 攻击，其中有权修改日志配置文件的攻击者可以构建恶意配置将 JDBC Appender 与引用 JNDI URI 的数据源一起使用，该 JNDI URI 可以执行远程代码。此问题已通过将 JNDI 数据源名称限制为 Log4j2 版本 2.17.1、2.12.4 和 2.3.2 中的 java 协议来解决。。
二、修复建议
Log4j 1.x 缓解
Log4j 1.x 不受此漏洞影响。

Log4j 2.x 缓解
升级到 Log4j 2.3.2（适用于 Java 6）、2.12.4（适用于 Java 7）或 2.17.1（适用于 Java 8 及更高版本）。

在之前的版本中确认，如果正在使用 JDBC Appender，它不会被配置为使用除 Java 之外的任何协议。

请注意，只有 log4j-core JAR 文件受此漏洞影响。仅使用 log4j-api JAR 文件而不使用 log4j-core JAR 文件的应用程序不受此漏洞的影响。

另请注意，Apache Log4j 是唯一受此漏洞影响的日志服务子项目。Log4net 和 Log4cxx 等其他项目不受此影响。
参考链接
http://www.openwall.com/lists/oss-security/2021/12/28/1

 

Apache Shiro身份认证绕过漏洞（CVE-2023-22602）

一、漏洞描述
Apache Shiro是一个开源安全框架，提供身份验证、授权、密码学和会话管理。Shiro框架直观、易用，同时也能提供健壮的安全性。Apache Shiro与Spring Boot 2.6+一起使用时，特制的HTTP请求可能导致认证绕过。当Shiro和Spring Boot使用不同的模式匹配技术时，认证绕过就会发生。

受影响版本
Apache Shiro < v1.11.0

不受影响版本
Apache Shiro >= v11.0

二、修复建议
建议升级至1.11.1版本及其以上。
参考链接
https://lists.apache.org/thread/dzj0k2smpzzgj6g666hrbrgsrlf9yhkl

Spring Framework 至 4.3.16/5.0.5 STOMP Regular Expression 输入验证漏洞

一、漏洞描述
Pivotal Spring Framework是美国Pivotal Software公司的一套开源的Java、Java EE应用程序框架。该框架可帮助开发人员构建高质量的应用。

Pivotal Spring Framework 5.0.6之前的5.0.x版本、4.3.17之前的4.3.x版本及已不再支持的老版本中存在安全漏洞。攻击者可通过构建消息利用该漏洞造成拒绝服务。

二、修复建议
目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
https://pivotal.io/security/cve-2018-1257