04 2022 档案

摘要:一、漏洞描述 Fastjson 是一个开源JSON解析库。它提供了autotype功能,允许用户在反序列化数据中通过“@type”指定反序列化的类型,其次,Fastjson自定义的反序列化机制时会调用指定类中的setter方法及部分getter方法,当组件开启了autotype功能并且反序列化不可信 阅读全文
posted @ 2022-04-26 16:24 打了个喷嚏 阅读(1007) 评论(0) 推荐(0) 编辑
摘要:一、漏洞描述 WSO2是一家开源技术提供商。它提供了一个企业平台,用于在本地和整个 Internet 上 集成应用程序编程接口(API)、应用程序和 Web 服务。 某些 WSO2 产品允许无限制的文件上传和远程代码执行。攻击者必须使用带有 Content-Disposition 目录遍历序列的 / 阅读全文
posted @ 2022-04-26 11:13 打了个喷嚏 阅读(2267) 评论(0) 推荐(0) 编辑
摘要:一、漏洞描述 Apache Log4j2 是一个基于 Java 的日志记录工具。该工具重写了 Log4j 框架,并且引入了大量丰富的特性。该日志框架被大量用于业务系统开发,用来记录日志信息。 在大多数情况下,开发者可能会将用户输入导致的错误信息写入日志中。攻击者利用此特性可通过该漏洞构造特殊的数据请 阅读全文
posted @ 2022-04-25 15:08 打了个喷嚏 阅读(785) 评论(0) 推荐(0) 编辑
摘要:一、漏洞描述 springframework 是spring 里面的一个基础开源框架,主要用于javaee的企业开发。 2022年3月30日,Spring框架曝出RCE 0day漏洞,攻击者通过该漏洞可远程实现对目标主机的后门文件写入和配置修改,继而通过后门文件访问获得目标主机权限。 二、漏洞成因 阅读全文
posted @ 2022-04-22 16:37 打了个喷嚏 阅读(2615) 评论(0) 推荐(0) 编辑
摘要:一、漏洞描述 该漏洞是由于对S2-061(CVE-2020-17530)的修复不完整,在Apache Struts 2.0.0-2.5.29版本范围内,如果开发人员使用 %{xxx} 语法进行强制OGNL解析时,标签的某些属性仍然可被二次解析。当解析未经验证的用户输入时可能会导致远程代码执行。 二、 阅读全文
posted @ 2022-04-21 17:35 打了个喷嚏 阅读(1934) 评论(0) 推荐(0) 编辑

点击右上角即可分享
微信分享提示