【漏洞通告】Django JSONField,HStoreField SQL注入漏洞(CVE-2019-14232、CVE-2019-14233、CVE-2019-14234、CVE-2019-14235)

漏洞描述 Django是一个开放源代码的Web应用框架,由Python写成。采用了MTV的框架模式,即模型M,视图V和模版T。它最初是被开发来用于管理劳伦斯出版集团旗下的一些以新闻内容为主的网站的,即是CMS(内容管理系统)软件,并于2005年7月在BSD许可证下发布。Django 在2019年8月 ...
分享本文 分享到新浪微博 分享到QQ好友
阅读全文

【漏洞通告】FasterXML jackson-databind远程代码执行漏洞(CVE-2019-14379、CVE-2019-14361)

漏洞描述 FasterXMLjackson-databind是一个简单基于Java应用库,Jackson可以轻松的将Java对象转换成json对象和xml文档,同样也可以将json、xml转换成Java对象。FasterXMLjackson-databind2.9.9.2以下版本存在反序列化漏洞补丁 ...
分享本文 分享到新浪微博 分享到QQ好友
阅读全文

【漏洞通告】关于Redis存在远程命令执行漏洞(CNVD-2019-21763)

漏洞描述 Redis是一个开源的使用ANSI C语言编写、支持网络、可基于内存亦可持久化的日志型、Key-Value数据库,并提供多种语言的API。作为一个高性能的key-value数据库,Redis在部分场景下对关系数据库起到很好的补充作用。 漏洞编号 CNVD-2019-21763 漏洞危害 攻 ...
分享本文 分享到新浪微博 分享到QQ好友
阅读全文

【漏洞通告】关于WebSphere存在远程代码执行漏洞(CNVD-2019-18510)

漏洞描述 WebSphereApplication Server是一种功能完善、开放的Web应用程序服务器,基于Java和Servlets的Web应用程序运行,是IBM电子商务计划的核心部分,由于其可靠、灵活和健壮的特点,被广泛应用于企业的Web服务中。 2019年5月16日,IBM官方发布了版本更 ...
分享本文 分享到新浪微博 分享到QQ好友
阅读全文

【漏洞通告】Oracle WebLogic远程命令执行漏洞(CVE-2019-2725补丁绕过)

漏洞描述: Oracle WebLogic远程命令执行漏洞最新利用代码,此攻击利用绕过了厂商今年4月底所发布的最新安全补丁(CVE-2019-2725)。 由于该WAR包在反序列化处理输入信息时存在缺陷,攻击者可以发送精心构造的恶意 HTTP 请求,在未授权的情况下远程执行命令,获得目标服务器的权限 ...
分享本文 分享到新浪微博 分享到QQ好友
阅读全文

【漏洞通告】关于深信服SSL VPN产品存在安全隐患的情况说明

    2019年6月14日,深信服官方发布SSLVPN产品存在安全隐患的通告,现将情况说明如下:     一、 漏洞分析     经分析,SSL VPN某接口存在注入漏洞,攻击者可以构造特殊参数来利用此漏洞,以达到法登录控制台的目的。该漏洞仅存在于SSL VPN产品的特定版本,深信服其他产品不 ...
分享本文 分享到新浪微博 分享到QQ好友
阅读全文

【漏洞通告】关于计算机内置防盗追踪软件安全风险的警示

漏洞描述 部分计算机主板BIOS中预置了一款由Absolute公司开发的防盗追踪软件Computrace,计算机启动后,操作系统即隐蔽安装该软件,经常向境外传输不明数据。该软件可远程获取计算机中用户文件、控制用户系统、监控用户行为,甚至可在未经授权的情况下自动下载安装未知功能的程序,具有很大的安全隐 ...
分享本文 分享到新浪微博 分享到QQ好友
阅读全文

【漏洞通告】Windows Server DHCP 服务远程代码执行漏洞(CVE-2019-0725)

漏洞描述 Microsoft Windows Server DHCP服务中的漏洞可能允许未经身份验证的远程攻击者在目标系统上执行任意代码。2019年5月14日微软官方发布安全补丁,修补了 Windows Server 中 DHCP 服务远程代码执行漏洞。 漏洞编号 CVE-2019-0725 漏洞危 ...
分享本文 分享到新浪微博 分享到QQ好友
阅读全文

【漏洞通告】远程桌面服务远程执行代码漏洞(CVE-2019-0708)

漏洞描述 远程桌面服务(以前称为终端服务)中存在远程执行代码漏洞。此漏洞是预身份验证且无需用户交互,可以通过网络蠕虫的方式被利用。利用此漏洞的任何恶意软件都可能从被感染的计算机传播到其他易受攻击的计算机,其方式与 2017 年 WannaCry 恶意软件的传播方式类似。 漏洞编号 CVE-2019- ...
分享本文 分享到新浪微博 分享到QQ好友
阅读全文

【漏洞通告】Oracle WebLogic wls9-async组件存在反序列化远程命令执行漏洞

漏洞概述 WebLogic Server是美国甲骨文(Oracle)公司开发的一款适用于云环境和传统环境的应用服务中间件,它提供了一个现代轻型开发平台,支持应用从开发到生产的整个生命周期管理,并简化了应用的部署和管理。 部分版本WebLogic中默认包含的wls9_async_response包,为 ...
分享本文 分享到新浪微博 分享到QQ好友
阅读全文

联系我们:cert@chaosec.com