01 2021 档案
摘要:漏洞描述 1.漏洞编号:CVE-2019-14234 2.影响版本: 1.11.x before 1.11.23 2.1.x before 2.1.11 2.2.x before 2.2.4 3.漏洞产生原因: Django在2019年8月1日发布了一个安全更新,修复了在JSONField、HSto
阅读全文
摘要:Django debug page XSS漏洞 漏洞描述 1.漏洞编号:CVE-2017-12794 2.影响版本:1.11.5之前的版本。 3.漏洞产生原因: 如果要触发这两个输出点,就必须进入这个if语句: {% ifchanged frame.exc_cause %}{% if frame.e
阅读全文
摘要:Couchdb任意命令执行漏洞 漏洞描述 1.漏洞编号:CVE-2017-12636 2.影响版本:小于 1.7.0 以及 小于 2.1.1 3.漏洞产生原因: Apache CouchDB是一个开源数据库,专注于易用性和成为"完全拥抱web的数据库"。它是一个使用JSON作为存储格式,JavaSc
阅读全文
摘要:Couchdb 垂直权限绕过漏洞 漏洞描述 1.漏洞编号:CVE-2017-12635 2.影响版本:小于 1.7.0 以及 小于 2.1.1 3.漏洞产生原因: Apache CouchDB是一个开源数据库,专注于易用性和成为"完全拥抱web的数据库"。它是一个使用JSON作为存储格式,JavaS
阅读全文
摘要:Atlassian Confluence 路径穿越与命令执行漏洞 漏洞描述 1.漏洞编号:CVE-2019-3396 2.影响版本:6.6.12之前所有6.6.x版本,6.12.3之前所有6.12.x版本,6.13.13之前所有6.13.x版本,6.14.2之前所有6.14.x版本。 3.漏洞产生原
阅读全文
摘要:漏洞描述 漏洞编号:CVE-2010-2861 影响版本:Adobe CouldFusion 8.0.1版本 漏洞产生原因: Adobe ColdFusion是美国Adobe公司的一款动态Web服务器产品,其运行的CFML(ColdFusion Markup Language)是针对Web应用的一种
阅读全文
摘要:Shellshock- CVE-2014-6271-破壳漏洞 漏洞描述 漏洞编号:CVE-2014-6271 影响版本:GNU Bash <= 4.3 https://www.cvedetails.com/cve/CVE-2014-6271/ https://access.redhat.com/ar
阅读全文
摘要:Aria2 任意文件写入漏洞 漏洞描述 漏洞编号:rce 影响版本: 漏洞产生原因: Aria2是一个命令行下轻量级、多协议、多来源的下载工具(支持 HTTP/HTTPS、FTP、BitTorrent、Metalink),内建XML-RPC和JSON-RPC接口。在有权限的情况下,我们可以使用RPC
阅读全文
摘要:AppWeb认证绕过漏洞 漏洞描述 漏洞编号:CVE-2018-8715 影响版本:7.0.3之前的版本 https://www.cvedetails.com/cve/CVE-2018-8715/ 3.漏洞产生原因: AppWeb可以进行认证配置,其认证方式包括以下三种: - basic 传统HTT
阅读全文
摘要:Apereo-CAS 4.1 反序列化命令执行漏洞 漏洞描述 漏洞编号:Apereo-CAS 4.1-rce 影响版本:Apereo-CAS <= 4.1.7 漏洞产生原因:其4.1.7版本之前存在一处默认密钥的问题,利用这个默认密钥我们可以构造恶意信息触发目标反序列化漏洞,进而执行任意命令。 参考
阅读全文
摘要:ActiveMQ任意文件写入漏洞 漏洞描述 漏洞编号:CVE-2016-3088 影响版本:Apache ActiveMQ 5.x~5.14.0 https://www.cvedetails.com/cve/CVE-2016-3088/ 3.漏洞产生原因:ActiveMQ的web控制台分三个应用,a
阅读全文
摘要:ActiveMQ-反序列化漏洞 漏洞描述 漏洞编号:CVE-2015-5254 影响版本:Apache ActiveMQ 5.13.0之前5.x版本,https://www.cvedetails.com/cve/CVE-2015-5254/ 漏洞产生原因:该漏洞源于程序没有限制可在代理中序列化的类。
阅读全文