【漏洞预警+数据泄露】Microsoft Word RCE(CVE-2019-0585) +其他漏洞和情报资讯

最新推荐文章于 2024-02-06 12:02:51 发布
最新推荐文章于 2024-02-06 12:02:51 发布
阅读量683 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/blackorbird/article/details/102462386
版权

640?wx_fmt=png

CVE-2019-0585 | Microsoft Word远程执行代码漏洞

640?wx_fmt=png

       当Microsoft Word软件无法正确处理内存中的对象时,存在远程执行代码漏洞。成功利用此漏洞的攻击者可以使用特制文件在当前用户的安全上下文中执行操作。

      例如,该文件可以代表登录用户采取与当前用户相同的权限进行操作。 要利用此漏洞,用户必须使用受影响的Microsoft Word软件版本打开特制文件。

      在电子邮件攻击情形中,攻击者可以通过将特制文件发送给用户并诱使用户打开该文件来利用此漏洞。

      在基于Web的攻击情形中,攻击者可以托管网站(或利用接受或托管用户提供的内容的受感染网站),其中包含旨在利用此漏洞的特制文件。但是,攻击者无法强迫用户访问该网站。

      相反,攻击者必须说服用户点击链接,通常是通过电子邮件或Instant Messenger消息中的诱惑,然后诱使用户打开特制文件。  

此安全更新通过更正Microsoft Word处理内存中文件的方式来解决漏洞。

影响版本:</

最低0.47元/天 解锁文章
blackorbird
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Atlassian confluence漏洞分析合集
不忘初心,护天下安全!
06-22 426
Atlassian Confluence Server是澳大利亚Atlassian公司的一套协同软件服务器版本,具有企业知识管理功能,并支持用于构建企业WiKi。Atlassian Confluence Data Center 是 Atlassian Confluence 的数据中心版本。Confluence是一个专业的企业知识管理与协同软件,常用于构建企业wiki。 利用该漏洞可以读取服务器上任意文件6.1.0 ...
CVE-2019-8449:针对Jira v2.1的CVE-2019-8449漏洞-v8.3.4
03-08
CVE-2019-8449 低于v8.3.4的Jira版本的CVE-2019-8449 Exploit CVSS得分: 5.0 漏洞类型:信息泄露身份验证:不需要受影响的版本: 2.1-8.3.4 发布日期: 2019-09-11 漏洞数据库: : 描述 版本8.4.0之前的Jira中的/ rest / api / latest / groupuserpicker资源允许远程攻击者通过信息泄露漏洞枚举用户名。 用法 python CVE-2019-8449.py 链接
CVE-2022-30190 Follina Office RCE分析【附自定义word钓鱼模板POC】
「 虚幻私塾」
06-18 668
昨天看了下’Follina’ MS-MSDT n-day Microsoft Office RCE 这个漏洞,修改了下chvancooten的脚本,实现可以自定义word模板,便于实战中钓鱼使用,自己编辑好钓鱼word文档后-f参数指定即可。也可以从我的github上下载:https://github.com/komomon/CVE-2022-30190-follina-Office-MSDT-Fixed使用https://github.com/chvancooten/follina.py的项目生成恶意wo
CVE-2019-8442:[Jira]未授权敏感信息泄露
公众号shadow sock7
08-19 5928
https://note.youdao.com/ynoteshare1/index.html?id=4189e6fb21fb097a4109ac22f33b16cb&type=note 只是urlrewrite,不是那种直接读文件的,所以如果请求jsp的话,不会返回源码。只能读到一些不敏感的配置文件,所以影响有限。 ...
Eclipse Jetty server漏洞解决
qq_42222680的博客
02-10 7411
Eclipse Jetty 服务器伪路径请求绕过漏洞(Linux)
漏洞复现----CVE-2019-12735 vim编辑器任意代码执行漏洞复现及利用
wwl012345的博客
08-22 849
一、事件背景 2019年6月4日,爆出来关于VIM的漏洞,攻击者可以通过向受害者发送一个恶意代码,如果用户使用VIM打开该代码,那么攻击者可以控制用户的计算机。 二、影响版本 Vim < 8.1.1365 Neovim < 0.3.6 三、前提条件 (1):vim版本小于8.1.1365 (2):开启modeline,部分 Linux 发行...
Jackson_RCE-CVE-2019-12384:CVE-2019-12384 漏洞测试环境
05-26
环境搭建 将项目导入到idea,再配置好maven之后设置自动导入依赖库,然后在本地的web空目录写入如下文件,保存为exec.sql。...CREATE ALIAS SHELLEXEC AS $$ String shellexec(String cmd)...
cve-2019-1003000-jenkins-rce-poc:Jenkins RCE概念证明:SECURITY-1266 CVE-2019-1003000(脚本安全),CVE-2019-1003001(管道:Groovy),CVE-2019-1003002(管道:声明式)
02-05
PoC:Jenkins RCE SECURITY-1266 / CVE-2019-... 更新: 的文章解释了利用CVE-2018-1000861和CVE-2019-1003000的漏洞利用链,绕过了对预身份验证RCE的总体/读取权限的需求: : 安装 $ git clone https://github.co
CVE-2019-12814:CVE-2019-12814
05-26
**CVE-2019-12814:Jackson数据绑定库的远程代码执行漏洞** CVE-2019-12814是一个针对Java Jackson数据绑定库的重大安全漏洞,该漏洞允许攻击者通过恶意构造的JSON输入在解析过程中执行任意代码,从而可能导致系统...
CVE-2019-18935:RCE漏洞用于ASP.NET AJAX的Telerik UI中的.NET JSON反序列化漏洞
05-25
CVE-2019-18935 Telerik UI中用于ASP.NET AJAX的.NET JSON反序列化漏洞的概念验证漏洞,允许远程执行代码。 描述 是用于Web应用程序的UI组件的广泛使用的套件。 它以不安全的方式反序列化JSON对象,从而导致在软件...
CVE-2019-19781 Citrix Application Delivery Controller和RCE.MD
04-13
CVE-2019-19781 Citrix Application Delivery Controller和RCE
exploits:我写了一些展示和分享的漏洞利用
05-18
漏洞利用 我编写了一些展示和共享的漏洞利用程序。 所有漏洞利用都是针对已在发布前几个月修复的漏洞的,并非旨在以任何方式用于利用,而仅用于教育目的。 以下是您可以在此处找到的漏洞利用列表: CVE 软件 影响 写上去 CVE-2021-27889 + CVE-2021-27890 MyBB XSS转RCE CVE-2020-27194 Linux 聚乙烯 CVE-2019-8943 WordPress的 RCE CVE-2019-6977 PHP 沙盒逃生
django_cve_2019_19844_poc:适用于CVE-2019-19844的PoC(https:www.djangoproject.comweblog2019dec18security-releases)
02-04
django_cve_2019_19844_poc PoC 要求 Python 3.7.x PostgreSQL 9.5或更高 建立 创建数据库(例如django_cve_2019_19844_poc ) 将数据库名称设置为环境变量DJANGO_DATABASE_NAME (例如, export DJANGO_DATABASE_NAME=django_cve_2019_19844_poc ) 运行pip install -r requirements.txt && ./manage.py migrate --noinput 使用shell命令创建以下用户: >> > from dj
wordpress 5.0.0 远程代码执行漏洞分析cve-2019-8943
whatday的专栏
08-25 2620
近日,wordpress发布一个安全升级补丁,修复了一个WordPress核心中的远程代码执行漏洞。代码修改细节可以参考wordpress团队于Dec 13, 2018提交的代码。据漏洞披露者文中所介绍,这个漏洞WordPress核心中被发现已经超过6年。 https://github.com/WordPress/WordPress/commit/7bd776bdb3f496898bba46959066c2c4aa8723d1#diff-c3d5c535db5622f3b0242411ee5f9.
Jetty 安全漏洞分析
热门推荐
xyp632的博客
05-22 2万+
Jetty 安全漏洞分析1. 安全问题分析2. 升级验证3. Jetty版本不准确问题分析4. Jetty版本不能准确的临时解决方案5. 应用例子案例 1:metabase案例 2:jenkins 记录日期:2021/5/21 1. 安全问题分析 在做服务器安全扫描时,有时会报出 jetty 的漏洞。 查看漏洞详情可知,低版本的 jetty 包含漏洞,升级 jetty 到新版本就可以修复这些漏洞漏洞 官方问题连接 修复版本 Eclipse Jetty HTTP请求走私漏洞CVE-
CVE-2019-6715 WordPress Plugin W3 Total Cache - Unauthenticated Arbitrary File Read (Metasploit)
小兰同学的博客
03-19 720
本文就WP W3 Total Cache插件漏洞进行了msf模块的导入利用和简单分析。 文章目录一、漏洞描述二、漏洞利用三、pcap包抓取并分析 一、漏洞描述 WordPress的0.9.4之前的W3 Total Cache插件中的pub / sns.php允许远程攻击者通过SubscriptionConfirmation JSON数据中的SubscribeURL字段读取任意文件。 漏洞类型:任意文件读取 产品供应商:Frederick Townes的Wordpress W3 Total Cache插件 受
GeoServer 2.11.1升级解决Eclipse Jetty 的一系列安全漏洞问题
最新发布
diaya的专栏
02-06 2005
下载 Geoserver2.32.4,先装了JDK17,再装了GeoServer2.23.4。网址访问一切正常,建了工作空间,在存储仓库里选 shapefile新建时,点“浏览”,竟无法弹出选文件的窗口,查看调用显示下错。接到安全评估报告,发现上面一堆关于Jetty的安全问题,后得知,是GeoServer2.11.1中用的jetty版本太低导致。Eclipse Jetty HTTP请求走私漏洞(CVE-2017-7658)2、先卸载原有的geoserver2.11.1,再卸载其配套的jre 8。
CVE-2019-0541复现
锋刃科技的博客
09-22 305
简介 Microsoft MSHTML引擎中存在输入验证漏洞,该漏洞源于程序没有正确地验证输入。远程攻击者可通过诱使用户编辑特制的文件利用该漏洞在当前用户的上下文中执行任意代码。 影响版本 Microsoft Internet Explorer 10, Internet Explorer 11, Internet Explorer 9; Excel Viewer 2007 SP3; Office 2010 SP2, Office 2013 RT SP1, Office ...
最新系统漏洞--Eclipse Jetty信息泄露漏洞
weixin_48555088的博客
10-22 1万+
最新系统漏洞2021年10月22日 受影响系统: Eclipse Jetty <= 9.4.40 Eclipse Jetty <= 11.0.2 Eclipse Jetty <= 10.0.2 描述: CVE(CAN) ID: CVE-2021-28169 Eclipse Jetty是Eclipse基金会的一个开源的、基于Java的Web服务器和Java Servlet容器。 Eclipse Jetty 9.4.40及之前版本、10.0.2及之前版本和11.0.2及之前版本存在信息泄露漏洞
CVE-2017-15715漏洞和SSI-RCE漏洞
07-27
这种漏洞可能会导致服务器被完全控制,从而造成数据泄露、服务拒绝或其他恶意行为。 请注意,对于具体的漏洞信息和修复建议,请查阅相应漏洞CVE编号或相关安全公告以获取更准确和详细的信息。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值