摘要:
漏洞名称:PHP ‘asn1_time_to_time_t’函数内存损坏漏洞CNNVD编号:CNNVD-201312-348发布时间:2013-12-18更新时间:2013-12-18危害等级:高危漏洞类型:缓冲区溢出威胁类型:远程CVE编号:CVE-2013-6420PHP(PHP:Hypertext Preprocessor,PHP:超文本预处理器)是PHP Group和开放源代码社区共同维护的一种开源的通用计算机脚本语言。该语言支持多重语法、支持多数据库及操作系统和支持C、C++进行程序扩展等。PHP中的ext/openssl/openssl.c文件中的‘asn1_time_to_tim 阅读全文
摘要:
漏洞版本:Struts 2.3.1.1漏洞描述:CVE ID:CVE-2011-3923Struts2的核心使用的是WebWork框架,而WebWork通过XWork来处理用户的请求参数。Xwork的默认配置是禁止静态方法执行的,想要修改默认配置中的值,根据语法要求就必须使用#字符来表示变量,并对变量进行修改。为了防范服务器端对象被恶意篡改,XWork的ParametersInterceptor(参数过滤器)是不允许参数名中出现#字符的。但如果使用16进制编码\u0023或者8进制编码\43,来替换#字符,攻击者就可以绕过限制,调用静态方法,执行任意Java代码甚至系统命令。安全建议:升级到官 阅读全文