安全公告
-
综述近日,Chekmarx团队的研究人员发现并公布了Apache Dubbo中存在的一个反序列化漏洞(CVE-2019-17564)。Apache Dubbo 是一款高性能Java RPC框架。当在Dubbo应用中启用了HTTP协议进行通信时存在该漏洞,攻击者可能提交一个包含Java对象的POST请求来完全破坏Apache Dubbo的提供者实例。Dubbo HTTP实例会去反序列化JavaObjectStream中的数据,如果数据中包含一组恶意类,由于没有做任何安全过滤和检查,那么反序列化将会导
更多 -
2020-02-13
漏洞概述北京时间2月12日,微软发布2月安全更新补丁,修复了100个安全问题,涉及InternetExplorer、MicrosoftEdge、MicrosoftExchangeServer、MicrosoftOffice等广泛使用的产品,其中包括提权和远程代码执行等高危漏洞。此次安全更新修复的漏洞中,Windowsinstaller本地提权漏洞(CVE-2020-0683)的PoC已公开,且官方评级为高危,并且,微软于1月17日发布的IE代码执行0day漏洞(CVE-2020-0674)也在此次安全更新中得到了修复,
更多 -
Django SQL注入漏洞(CVE-2020-7471)威胁通告
2020-02-13
漏洞概述2月3日,Django 官方发布安全通告公布了一个通过StringAgg(分隔符)实现利用的潜在SQL注入漏洞(CVE-2020-7471)。攻击者可通过构造分隔符传递给聚合函数contrib postgres aggregates StringAgg,从而绕过转义并注入恶意SQL语句。Django是高水准的由Python编程语言驱动的一个开源Web应用程序框架,起源于开源社区。使用Django,程序员可以方便、快捷地创建高品质、易维护、数据库驱动的应用程序,应用广泛。2月11日,
更多 -
【威胁通告】Django SQL注入漏洞(CVE-2020-7471)
2020-02-13
综述近日,Django 官方发布安全通告公布了一个通过StringAgg(分隔符)的潜在SQL注入漏洞(CVE-2020-7471)。如果将不受信任的数据用作StringAgg分隔符,则部分版本的 Django将允许SQL注入。通过将精心设计的分隔符传递给contrib postgres aggregates StringAgg实例,可以打破转义并注入恶意SQL。目前已存在针对该漏洞的 PoC。受影响产品版本Django 1 11 x < 1 11 28Django 2 2 x < 2 2 10Django 3 0 x < 3 0 3Djan
更多 -
2020-02-11
综述当地时间2月11日,Adobe官方发布了2月安全更新,修复了Adobe多款产品的多个漏洞,包括Adobe Experience Manager、Adobe Digital Editions、Adobe Flash Playe、Adobe Acrobat and Reader以及Adobe Framemaker等。官方通告地址:https: helpx adobe com security html漏洞概述Adobe Experience ManagerAdobe已发布Adobe Experience Manager 安全更新,修复了1个安全漏洞。漏洞概括如下:漏洞类别漏洞影响严
更多 -
2020-02-11
综述微软于周二发布了2月安全更新补丁,修复了100个从简单的欺骗攻击到远程执行代码的安全问题,产品涉及Adobe Flash Player、Internet Explorer、Microsoft Edge、Microsoft Exchange Server、Microsoft Graphics Component、Microsoft Malware Protection Engine、Microsoft Office、Microsoft Office SharePoint、Microsoft Scripting Engine、Microsoft Windows、Microsoft Windows Search Component、
更多
