安全公告
-
Spring Data Commons远程代码执行漏洞(CVE-2018-1273)
2018-04-12Pivotal Spring官方发布安全公告,Spring Data Commons组件中存在远程代码执行漏洞(CVE-2018-1273),攻击者可构造包含有恶意代码的SPEL表达式实现远程代码攻击,直接获取服务器控制权限。 Spring Data是一个用于简化数据库访问,并支持云服务的开源框架包含Commons、Gemfire、JPA、JDBC、MongoDB等模块。此漏洞产生于Spring Data Commons组件,该组件为提供共享的基础框架,适合各个子项目使用,支持跨数据库持久化。
更多 -
2018-04-12
综述北京时间4月11日,Adobe官方发布了4月安全更新,修复了包括AdobePhoneGap ColdFusion Adobe Digital Editions Adobe InDesign Adobe Experience Manager和Adobe Flash Player等产品的数个安全漏洞。 概括如下: 产品 CVE 漏洞类别 漏洞影响 严重程度 Adobe Digital Editions CVE-2018-4925 越界读取 信息泄露 Important CVE-2018-4926 栈溢出 Adobe InDesign CVE-2018-4927 未受信任的搜索
更多 -
CVE-2018-1270:spring-messaging模块远程代码执行漏洞
2018-04-12综述 Pivotal Spring官方发布安全公告,Spring框架中存在三个漏洞其中编号为CVE-2018-1270的漏洞可导致远程代码执行。在引入且使用spring-messaging组件时攻击者可通过WebSocket向服务器端发送携带有恶意代码的STOMP报文,直接获取服务器控制权限。Pivotal Spring官方4月9日对之前发布的公告进行了部分修订,受CVE-2018-1270漏洞影响的版本修订为Spring Framework 4 3 15及5 0 4。详情请参考如下链接:https: pivotal io
更多 -
综述近日,Auth0被曝出存在严重的身份验证绕过漏洞。该漏洞(CVE-2018-6873)源于Auth0的Legacy Lock API没有对JSON Web Tokens(JWT)的参数做合理的验证,随后可以触发一个CSRF SXRF漏洞(CVE-2018-6874)。攻击者仅需要知道用户的user ID或者email地址,就可以登录该用户任何使用Auth0验证的应用。Auth0拥有2000多家企业用户并且每天管理超过15亿次的登录验证,是最大的身份平台之一。目前Auth0已经发布更新修复了该漏洞
更多 -
Cisco IOS/IOS XE远程代码执行漏洞(CVE-2018-0171)
2018-04-10一 漏洞概述 2018年3月28日,Cisco IOS以及IOS XE软件被发现存在一个严重漏洞CVE-2018-0171。攻击者可以在未授权的情况下通过重新加载(reload)设备造成拒绝服务条件,或者远程执行代码。Smart Install是为新的LAN以太网交换机提供零触摸部署的即插即用配置和图形管理功能,在TCP端口4786上运行的Cisco专用协议,若设备启用了Smart Install功能且对外开放4786端口,攻击者就可通过发送畸形Smart Install报文来利用此
更多 -
2018-03-28
一 漏洞概述S2-056漏洞发生于Apache Struts2的REST插件,当使用XStream组件对XML格式的数据包进行反序列化操作,且未对数据内容进行有效验证时,攻击者可通过提交恶意XML数据对应用进行远程DoS攻击。官方通告如下:https: cwiki apache org confluence display WW S2-056二 影响范围受影响的版本Struts 2 1 1 - Struts 2 5 14 1不受影响的版本Struts 2 5 16三 解决建议ApacheStruts官方在新版本2 5 16版本中针对S2-056
更多