Goby漏洞更新|WSO2 API Manager 系统 save_artifact_ajaxprocessor.jsp XXE 漏洞(CVE-2020-24589)

最新推荐文章于 2023-04-17 15:42:07 发布
最新推荐文章于 2023-04-17 15:42:07 发布
阅读量203 收藏
点赞数
分类专栏: Goby 漏洞 红队版 文章标签: java 开发语言 XXE CVE-2020-24589
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_46699477/article/details/130014947
版权
Goby 同时被 3 个专栏收录
184 篇文章 30 订阅
订阅专栏
漏洞
133 篇文章 3 订阅
订阅专栏
红队版
113 篇文章 3 订阅
订阅专栏

漏洞名称: WSO2 API Manager 系统 save_artifact_ajaxprocessor.jsp XXE 漏洞(CVE-2020-24589)

English Name:WSO2 API Manager save_artifact_ajaxprocessor.jsp XXE Vulnerability (CVE-2020-24589)

CVSS core: 9.1

影响资产数:15231

漏洞描述:

WSO2 API Manager是美国WSO2公司的一套API生命周期管理解决方案。WSO2 API Manager中存在漏洞。以下产品及版本受到影响:WSO2 API Manager从3.1.0 开始版本和 API Microgateway 2.2.0版本,攻击者可读取任意文件和探测内网信息等。

漏洞影响:

WSO2 API Manager中存在漏洞。以下产品及版本受到影响:WSO2 API Manager从3.1.0 开始版本和 API Microgateway 2.2.0版本,攻击者可读取任意文件和探测内网信息等。

FOFA查询语句(点击直接查看结果):

title=“WSO2” || header=“Server: WSO2 Carbon Server” || banner=“Server: WSO2 Carbon Server”

此漏洞已可在Goby漏扫/红队版进行扫描验证

免费获取Goby:Goby社区版免费下载

查看Goby更多漏洞:Goby历史漏洞合集

关注Goby公众号获取最新动态:Gobysec

Gobysec
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
devillers.wso2is::locked_with_key: 修改 WSO2 身份服务器
06-17
标题 "deviller.wso2is::locked_with_key: 修改 WSO2 身份服务器" 暗示了这是一个关于定制和优化 WSO2 Identity Server (WSO2IS) 的项目,其中可能涉及安全性增强和特定功能的调整。WSO2IS 是一个开源的身份和访问...
漏洞分析: WSO2 API Manager 任意文件上传、远程代码执行漏洞
小王的储物间
02-25 895
因此我们将断点打到/org/wso2/carbon/ui/transports/fileupload/FileUploadExecutorManager.java#execute,正如上面描述所说、当收到一个文件上传请求,这个方法会被调用。它支持API设计,API发布,生命周期管理,应用程序开发,API安全性,速率限制,查看API的统计信息,以及连接APIAPI产品和端点。WSO2 身份服务器 5.8.0、5.7.0、5.6.0、5.5.0、5.4.1、5.4.0、5.3.0、5.2.0 和更早版本。
此内容不能显示在一个框架中 ie_Internet Explorer中发现新漏洞,谨防窃取本地信息...
weixin_39872395的博客
12-04 2303
几天前,安全研究人员在Microsoft Internet Explorer中发现了一个零日XML外部实体(XXE)注入漏洞,该漏洞可使攻击者从受害者的机器上窃取机密信息或提取本地文件。根据研究人员的说法,IE是MHT文件的默认开启者,因此即使用户使用其他浏览器,IE也可能会打开恶意MHT文件。 MHT是Internet Explorer用于脱机下载和保存文件的格式。它可用于保存Web内容或保存电...
漏洞复现 a.WSO2 文件上传 (CVE-2022-29464)
FODKING的博客
07-12 2615
漏洞复现 cve-2022文件上传详解
WSO2 文件上传 (CVE-2022-29464)漏洞复现
weixin_42675091的博客
09-03 1934
WSO2 文件上传 (CVE-2022-29464)漏洞复现
CVE-2022-29464 WSO2文件上传漏洞
weixin_45260839的博客
07-23 4240
CVE-2022-29464 WSO2文件上传漏洞
api-import-export:此存储库包含用于WSO2 API ManagerAPI导入和导出工具的源
05-12
此工具用于从WSO2 API管理器导入和导出APIAPI导出的主要功能是为请求的API检索所有必需的元信息和注册表资源,并生成压缩存档。 压缩档案包含以下结构 <APIName>- |_ Meta Information |_ api.json |_ ...
product-apim:欢迎使用WSO2 API Manager源代码! 有关使用WSO2 API Manager存储库和提供代码的信息,请单击下面的链接。
04-08
WSO2 API管理器(WSO2 API-M)是用于创建,管理,使用和监视Web API的强大平台。 它结合了久经考验的SOA最佳实践和现代API管理原则,以解决与API供应,治理和集成相关的各种企业挑战。 WSO2 API Manager由几个松散...
wso2-am-ci-cd-demo:WSO2 APIM CICD工作流程的演示文件
01-30
WSO2 API Manager CI/CD 演示文件详解】 WSO2 API Manager (WSO2 AM) 是一个强大的API管理和发布平台,它提供了全面的API生命周期管理功能。在这个"WSO2 AM CI/CD Demo"中,我们将探讨如何通过持续集成(CI)和...
WSO2-Integration-Studio-7.0.0-win32-x86_64.zip
12-27
2. **API Manager**:WSO2 API Manager允许开发者创建、发布和管理APIs。在WSO2 Integration Studio中,你可以设计API,配置安全策略,发布到API Gateway,并进行模拟测试,确保API的功能和性能。 3. **碳应用程序...
WSO2文件上传漏洞CVE-2022-29464)
chaojixiaojingang
05-09 1万+
1.漏洞描述 WSO2文件上传漏洞CVE-2022-29464)是Orange Tsai发现的WSO2上的严重漏洞。该漏洞是一种未经身份验证的无限制任意文件上传,允许未经身份验证的攻击者通过上传恶意JSP文件在WSO2服务器上获得RCE。 2.影响范围 WSO2 API Manager 2.2.0 及更高版本到 4.0.0 WSO2 Identity Server 5.2.0 及以上至 5.11.0 WSO2 身份服务器分析 5.4.0、5.4.1、5.5.0 和 5.6.0 W...
Goby 漏洞更新 | 瑞友天翼应用虚拟化系统 index.php 文件远程代码执行漏洞
m0_46699477的博客
04-11 1287
瑞友天翼应用虚拟化系统远程代码执行漏洞情报(0day),攻击者可以通过该漏洞执行任意代码,导致系统被攻击与控制。瑞友天翼应用虚拟化系统是基于服务器计算架构的应用虚拟化平台,它将用户各种应用软件集中部署到瑞友天翼服务集群,客户端通过WEB即可访问经服务器上授权的应用软件,实现集中应用、远程接入、协同办公等。攻击者可通过该漏洞在服务器端任意执行代码,写入后门,获取服务器权限,进而控制整个web服务器。
春秋云境:CVE-2022-29464(WSO2文件上传漏洞
m0_65712192的博客
04-17 2203
漏洞是一种未经身份验证的无限制任意文件上传,允许未经身份验证的攻击者通过上传恶意JSP文件在WSO2服务器上获得RCE。
2023.3.17 | Goby红队版可利用漏洞更新
m0_46699477的博客
03-17 8546
Nacos 身份认证绕过、泛微OA SQL注入、任意文件读取CVE-2023-26256、任意文件上传CVE-2022-39952、 天融信任意文件下载、命令执行漏洞、代码执行CVE-2022-27596、 路径穿越CVE-2022-48253、CVE-2023-25717、Aspera 远程代码执行CVE-2022-47986、SolarView Compact 、CVE-2023-23333、未授权访问、CVE-2022-31474、TurboMail文件读取、Apache默认密码....
WSO2/WSF系列框架之设计
老唐 的专栏
04-22 3564
wso2/wsf是wso2推出的基于wsf_c的系列web service框架,其关键是提供了对ws-security的全套支持,比如sign、encrytion、timestamp; 目前能够支持的语言包括:Php、Ruby、Perl、C、C++、Java;其中Php我们已经用该框架进行了接入,具体可见http://blog.csdn.net/sfdev/archive/2008/03/29/2
java xxe漏洞利用_JAVA的XXE漏洞
weixin_30445963的博客
03-09 2020
1. XXE简介XXE(XML外部实体注入,XML External Entity) ,漏洞在对不安全的外部实体数据进行处理时,可能存在恶意行为导致读取任意文件、探测内网端口、攻击内网网站、发起DoS拒绝服务攻击、执行系统命令等问题。简单来说,如果系统能够接收并解析用户的XML,但未禁用DTD和Entity时,可能出现XXE漏洞,常见场景如pdf在线解析、word在线解析、定制协议或者其他可以解析...
入门漏洞CVE-2022-29464 WSO2文件上传
栉风沐雪的博客
02-08 747
WSO2文件上传漏洞是Orange Tsai发现的WSO2上的严重漏洞。该漏洞是一种未经身份验证的无限制任意文件上传,允许未经身份验证的攻击者通过上传恶意JSP文件在WSO2服务器上获得RCE。WSO2 Identity Server as Key Manager(身份服务器作为密钥管理器) 5.3.0 及更高版本至 5.10.0。由于vulfocus的flag存放于tmp目录下,我们直接使用指令 ls /tmp 查看flag。至此成功取得flag,本次漏洞成功复现。可以在内输入指令ls查看目录结构。
wso2 API Manager主要概念介绍
热门推荐
cn_yh的专栏
01-20 1万+
原文地址:https://docs.wso2.com/display/AM180/Key+Concepts 翻译了wso2 AM产品中的主要概率,以便于理解使用wso2 AM。 1       API Manager components 一个组件是由一个或多个OSGibundle组成,一个bundle是OSGi中的一个模块化单元,就像java的jar文件。基于组件的架构为开发者提供了基于最
CVE-2022-29464
最新发布
07-28
回答: CVE-2022-29464是WSO2文件上传漏洞漏洞编号。该漏洞是一种未经身份验证的无限制任意文件上传漏洞,允许未经身份验证的攻击者通过上传恶意JSP文件在WSO2服务器上获得远程命令执行(RCE)的权限。\[3\]攻击者可以利用该漏洞上传恶意的JSP文件,并通过执行任意命令来控制服务器。这个漏洞的具体利用方式是通过在HTTP POST请求中上传恶意文件来实现的。\[2\]一旦攻击者成功利用该漏洞,他们可以执行任意命令,可能导致服务器被完全控制。因此,对于使用受影响版本的WSO2的用户来说,修复该漏洞是非常重要的。 #### 引用[.reference_title] - *1* *3* [【春秋云境】CVE-2022-29464](https://blog.csdn.net/m0_49025459/article/details/130400369)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^control_2,239^v3^insert_chatgpt"}} ] [.reference_item] - *2* [漏洞复现 a.WSO2 文件上传 (CVE-2022-29464)](https://blog.csdn.net/FODKING/article/details/125746993)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^control_2,239^v3^insert_chatgpt"}} ] [.reference_item] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值