漏洞报告

这家伙很懒,还没填写该栏目的介绍呢~

漏洞报告

WebLogic WLS核心组件反序列化漏洞(CVE-2018-2628)

阅读(71)评论(0)

漏洞/事件概要 北京时间4月18日凌晨,Oracle官方发布了4月份的关键补丁更新CPU(CriticalPatchUpdate),其中包含一个高危的Weblogic反序列化漏洞(CVE-2018-2628),通过该漏洞,攻击者可以在未授权的情况下远程执行代码。攻击者只需要发送精心构造的T3协议数据,就可以获取目标服务器的权限。攻击者可利用...

漏洞报告

CVE-2018-1273:Spring Data Commons组件远程代码执行漏洞

阅读(24)评论(0)

2018年4月10日,Spring官方宣布Spring Data Commons存在远程代码执行漏洞(CVE-2018-1273),攻击者可以构造恶意的请求对Spring Data REST发起攻击,包括使用基于HTTP资源的,或者其他请求基于Spring Data’s projection负载结合的,最终导致远程代码执行攻击。 漏洞详情见...

漏洞报告

EMLOG最新敏感信息泄漏漏洞

阅读(300)评论(0)

Emlog是一款个人博客系统,使用的人还是非常多的,小巧方便,对于个人站长来说是一个建站的不错选择。今天要公布一个危害轻微的漏洞:phpinfo暴露敏感信息   其实这个漏洞也不算什么吧,以后视情况(得到官方授权后)公布一些高危的漏洞,也欢迎大家持续关注DYBOY的博客。   闲话不多说,首先看...

漏洞报告

漏洞预警 | WebLogic反序列化漏洞(CVE-2017-10271)

阅读(364)评论(0)

Oracle Fusion Middleware(Oracle融合中间件)是美国甲骨文(Oracle)公司的一套面向企业和云环境的业务创新平台。该平台提供了中间件、软件集合等功能。Oracle WebLogic Server是其中的一个适用于云环境和传统环境的应用服务器组件。 漏洞编号 CVE-2017-102...

漏洞报告

Discuz! 任意文件删除漏洞

阅读(649)评论(0)

Crossday Discuz! Board(简称 Discuz!)是北京康盛新创科技有限责任公司推出的一套通用的开源的社区论坛软件系统。采用 PHP 和 MySQL 构建的性能优异、功能全面的社区论坛平台。利用特殊构造的请求触发可参与文件删除操作,导致了任意文件删除漏洞的发生。早在2014年有白帽子向官方报告了一个类似的漏洞,但是由于...

漏洞报告

St2-053 Apache Struts2远程代码执行漏洞(中危)

阅读(686)评论(0)

综述    2017年9月7日,Apache Struts发布最新的安全公告,Apache Struts 2存在一个远程代码执行漏洞,漏洞编号为CVE-2017-12611(S2-053)。该漏洞源于在处理Freemarker标签时,如使程序员使用了不恰当的编码表达会导致远程代码执行。 相关链接如下:https://cwiki.apa...

漏洞报告

St2-052 远程代码命令执行漏洞预警(CVE-2017-9805)

阅读(604)评论(0)

开学回学校了,所以暂时不能更新了,由于手机更新文章没办法更新poc以及截图等等,所以大家就凑合着看吧。 漏洞描述:当使用带有XStream处理程序的Struts REST插件来反序列化XML请求时,可能会发生RCE攻击 CVE编号:CVE-2017-9805 受影响的...

漏洞报告

st-048漏洞预警(附poc)

阅读(961)评论(0)

 近期,Struts2官方在7.6已经确认存在新的远程代码执行漏洞 漏洞编号:S2-048 CVE编号:CVE-2017-9791 漏洞危害:高 影响范围:Struts 2.3.x系列中的showcase应用。 漏洞概...

漏洞报告

如何优雅的反击扫描你网站的黑客

阅读(942)评论(0)

今天我们的威胁情报系统显示知名的web漏洞扫描器AWVS 10被爆出一个本地权限提升漏洞,漏洞详情及POC: https://www.exploit-db.com/exploits/38847/ 漏洞分析 根据作者的描述,问题是出现在AWVS 10 的一个任务调度的API上。 在AWV...

漏洞报告

FineCMS v2.1.5前台一处XSS+CSRF可getshell

阅读(710)评论(0)

FineCMS一个XSS漏洞分析 FineCMS是一套用 CodeIgniter 开发的中小型内容管理系统,目前有三个分支:1.x,2.x,5.x,这次分析的是2.x的最新版 2.1.5 。 一、用户输入 既然是XSS,那么就一定有用户的输入以及输出。 // contro...



Powered by 小陈 © Boon theme By 小陈