- 博客(2)
- 收藏
- 关注
原创 CVE-2017-12149 JBOSSAS 5.x/6.x 反序列化命令执行漏洞 CVE-2017-7504 JBoss 4.x JBossMQ JMS 反序列化漏洞
该漏洞为 Java反序列化错误类型,存在于 Jboss 的 HttpInvoker 组件中的 ReadOnlyAccessFilter 过滤器中。该过滤器在没有进行任何安全检查的情况下尝试将来自客户端的数据流进行反序列化,从而导致了漏洞。方法中的代码在没有进行任何安全检查的情况下,将来自客户端的数据流(request.getInputStream())进行了反序列化操作(红色箭头所示),从而导致了反序列化漏洞。1. 不需要 http-invoker.sar 组件的用户可直接删除此组件。
2024-06-01 15:49:28
362
原创 CVE-2022-32532 Apache Shiro RegExPatternMatcher 认证绕过漏洞
当Apache Shiro中使用RegexRequestMatcher进行权限配置,且正则表达式中携带"."时,未经授权的远程攻击者可通过构造恶意数据包绕过身份认证,导致配置的权限验证失效。
2024-05-31 16:06:38
800
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人