【漏洞通告】 FasterXML/jackson-databind 远程代码执行漏洞(CVE-2020-8840)

漏洞描述 FasterXML/jackson-databind是一个用于JSON和对象转换的Java第三方库,可将Java对象转换成json对象和xml文档,同样也可将json对象转换成Java对象。 此次漏洞中攻击者可利用xbean-reflect的利用链触发JNDI远程类加载从而达到远程代码执行 ...
分享本文 分享到新浪微博 分享到QQ好友
阅读全文

【漏洞通告】Apache Tomcat存在文件包含漏洞(CVE-2020-1938)

漏洞描述 Tomcat是Apache软件基金会Jakarta 项目中的一个核心项目,作为目前比较流行的Web应用服务器,深受Java爱好者的喜爱,并得到了部分软件开发商的认可。Tomcat服务器是一个免费的开放源代码的Web应用服务器,被普遍使用在轻量级Web应用服务的构架中。 漏洞编号 CVE-2 ...
分享本文 分享到新浪微博 分享到QQ好友
阅读全文

【安全预警】关于电脑版“新型冠状病毒”悄然蔓延的安全预警

    近期黑客正在制造一系列带有“冠状病毒”、“疫情”、“武汉”等热门字样的恶意软件: 深圳发现今年受理寨卡病例,该旅客从柬埔寨归国!.exe 今晚菲出现购口罩狂潮,商店门口围满了人.exe 新型冠状肺炎袭击菲律宾,已确诊病例七人.com 帕塞带孩子女性疑似新型病毒感染被当街暴打.exe 逃离武汉 ...
分享本文 分享到新浪微博 分享到QQ好友
阅读全文

【漏洞通告】 Spring MVC或Spring WebFlux header导致的RFD攻击风险(CVE-2020-5398)

漏洞描述 在Spring Framework,5.2.x之前的版本5.2.x,5.1.13之前的版本5.1.x和5.0.16之前的版本5.0.x中,应用程序在受到攻击时容易受到反射文件下载(RFD)攻击,通过响应中设置“ Content-Disposition” 响应header头来造成攻击,其中f ...
分享本文 分享到新浪微博 分享到QQ好友
阅读全文

【漏洞通告】Microsoft Windows核心加密库漏洞(CVE-2020-0601)

漏洞描述 该漏洞存在于CryptoAPI.dll,可用于绕过椭圆曲线密码(ECC)证书检测。 漏洞编号 CVE-2020-0601 漏洞等级 高危 漏洞影响 攻击者可以通过构造恶意的签名证书,并以此签名恶意文件来进行攻击,此外由于ECC证书还广泛的应用于通信加密中,攻击者成功利用该漏洞可以实现对应的 ...
分享本文 分享到新浪微博 分享到QQ好友
阅读全文

【漏洞通告】Weblogic WLS组件IIOP协议风险(CVE-2020-2551)

漏洞描述 Weblogic是Oracle出品的用于构建和部署企业Java EE应用程序的中间件,被企业用户广泛应用于生产环境中。 Internet Inter-ORB Protocol(互联网内部对象请求代理协议),它是一个用于CORBA 2.0及兼容平台上的协议。 用来在CORBA对象请求代理之间 ...
分享本文 分享到新浪微博 分享到QQ好友
阅读全文

【漏洞通告】Weblogic T3协议风险(CVE-2020-2546)

漏洞描述 Weblogic是Oracle出品的用于构建和部署企业Java EE应用程序的中间件,被企业用户广泛应用于生产环境中。 T3是用于在WebLogic服务器和其他类型的Java程序之间传输信息的协议。 漏洞编号 CVE-2020-2546 漏洞危害 攻击者能够利用Weblogic T3协议进 ...
分享本文 分享到新浪微博 分享到QQ好友
阅读全文

【漏洞通告】Apache Shiro Padding Oracle导致远程代码执行漏洞

漏洞描述 Apache Shiro是一个应用面非常广的Java安全框架,主要用于完成身份校验、会话管理的操作。在Apache Shiro cookie中的通过AES-128-CBC模式加密的rememberMe字段存在问题,容易受到Padding Oracle攻击。攻击者可以通过以下步骤完成攻击: ...
分享本文 分享到新浪微博 分享到QQ好友
阅读全文

联系我们:cert@chaosec.com