- 博客(3)
- 收藏
- 关注
RSS订阅原创 Nexus Repository Manager 3 远程命令执行漏洞(CVE-2020-10199)
1.影响版本Nexus Repository《=3.21.12.漏洞描述Sonatype Nexus 是一个 Maven 的仓库管理系统,在 Nexus Repository Manager OSS/Pro 3.21.1 及之前的版本中,由于某处功能安全处理不当,导致经过授权认证的攻击者,可以在远程通过构造恶意的 HTTP 请求,在服务端执行任意恶意代码,获取系统权限。3.环境准备攻击机器:Kali 192.168.157.130受害机器:docker镜像:192.168.157.1
2020-12-18 18:17:33
840
2
原创 XStream反序列化漏洞(cve-2020-26258/cve-2020-26259)
1.漏洞描述 XStream是一个常用的Java对象和XML相互转换的工具。在运行XSteam的服务上,未授权的远程攻击者通过构造特定的序列化数据 ,可造成任意文件删除/服务端请求伪造(SSRF) 。2.影响版本XStream <= 1.4.143.漏洞POC1)cve-2020-26259:任意文件删除import com.thoughtworks.xstream.XStream;/*CVE-2020-26259: XStream is vulnerab...
2020-12-17 15:33:56
3358
2
原创 Struts2 S2-061 远程命令执行漏洞(CVE-2020-17530)
1.漏洞简介 Apache Struts2框架是一个用于开发Java EE网络应用程序的Web框架。Apache Struts于2020年12月08日披露 S2-061 Struts 远程代码执行漏洞(CVE-2020-17530),在使用某些tag等情况下可能存在OGNL表达式注入漏洞,从而造成远程代码执行。2.影响版本Apache Struts 2.0.0 - 2.5.253.环境搭建1)使用docker安装项目地址:https://github.com/vul...
2020-12-15 17:38:59
1990
3
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人