S2-056漏洞发生于Apache Struts2的REST插件，当使用XStream组件对XML格式的数据包进行反序列化操作，且未对数据内容进行有效验证时，攻击者可通过提交恶意XML数据对应用进行远程DoS攻击。   官方通告如下： https://cwiki.apache.org/co ...

近日，国家信息安全漏洞共享平台（CNVD）收录了Exim SMTP Mail Server缓冲区溢出漏洞（CNVD-2018-04619，对应CVE-2018-6789）。攻击者可利用该漏洞在受影响的应用程序上下文中，通过堆溢出实现代码的执行，若攻击尝试失败仍可导致拒绝服务条件。目前，漏洞利用代码已 ...

【漏洞详情】 Jackson是一套开源的java序列化与反序列化工具框架，可将Java对象序列化为xml和json格式的字符串及提供对应的反序列化过程。由于其解析效率较高，目前是Spring MVC中内置使用的解析方式。该漏洞系Jackson针对反序列化漏洞（CVE-2017-7525）存在遗留问题 ...

综述 Struts2是一个基于MVC设计模式的Web应用框架，它本质上相当于一个servlet，在MVC设计模式中，Struts2作为控制器(Controller)来建立模型与视图的数据交互。 Struts2 的Jackson JSON库中存在拒绝服务漏洞，在使用Struts REST插件时，攻击者 ...

据国家网络与信息安全信息通报中心监测发现，微软Office系列办公软件（Word、Excel、Powerpoint等）存在远程代码执行漏洞（CVE-2017-11826）。目前该漏洞影响范围包括Office 2007、2010、2016三个版本。经分析研判，该漏洞通过特制RTF格式文档感染Windo ...

漏洞简介 这个漏洞和之前披露的 Spring WebFlow 漏洞（CVE-2017-4971）基本类似，在形成条件上完全一样，需要是 Spring WebFlow 在 Model 的数据绑定上面，由于没有明确指定相关 Model 的具体属性导致从表单可以提交恶意的表达式，导致任意代码执行。两个漏洞 ...

千疮百孔的Struts2应用又曝出存在新的高危远程代码执行漏洞。该漏洞由lgtm.com的安全研究员汇报，编号为CVE-2017-9805，漏洞危害程度为高危（Critical）。当用户使用带有XStream程序的Struts REST插件来处理XML payloads时，可能会遭到远程代码执行攻 ...

Xshell是一款强大,著名的终端模拟软件，被广泛的用于服务器运维和管理,Xshell支持SSH，SFTP，TELNET，RLOGIN和SERIAL功能。它提供业界领先的性能和强大功能，在免费终端模拟软件中有着不可替代的地位。企业版中拥有更专业的功能其中包括:标签式的环境，动态端口转发，自定义键映射 ...

近日，互联网上出现了针对WeblogicJava反序列化漏洞（CVE-2015-4852）补丁绕过的攻击利用分析情况。官方厂商（Oracle公司）在2015年11月发布了Weblogic Java反序列化漏洞补丁，该漏洞补丁由于采用了不完全的黑名单拦截方式，可以被绕过，后续则需要通过两个新补丁来完成 ...

作者: cyg07 && redrain 概述 Samba是在Linux和UNIX系统上实现SMB协议的一个软件。2017年5月24日Samba发布了4.6.4版本，中间修复了一个严重的远程代码执行漏洞，漏洞编号CVE-2017-7494，漏洞影响了Samba 3.5.0 之后到 ...