![](https://img-blog.csdnimg.cn/20201014180756738.png?x-oss-process=image/resize,m_fixed,h_64,w_64)
漏洞通告
文章平均质量分 63
针对一些未公开利用方式的新型漏洞进行通报。
Evan Kang
热爱学习,安全菜鸟,分享安全知识,擅长漏洞复现、事件分析,目前就职于国内某大型安全公司。欢迎大家一起交流!
展开
-
【漏洞通告】CVE-2022-31690 Spring Security Oauth2 Client权限提升漏洞
10月31日,VMware发布安全公告,修复了Spring Security中的一个权限提升漏洞(CVE-2022-31690),该漏洞的CVSSv3基础评分为8.1。攻击者可以修改客户端通过浏览器向授权服务器发出的请求,如果授权服务器在后续使用包含空范围列表的‘OAuth2 Access Token Response’响应来获取访问token,攻击者可以获得权限提升,以特权身份执行恶意代码。Spring Security 版本5.7.x 用户:升级到 5.7.5。以及不受支持的旧版本。原创 2022-11-02 21:00:00 · 1107 阅读 · 0 评论 -
【漏洞通告】CVE-2022-39944 Apache Linkis反序列化漏洞
Apache Linkis(Incubating)是一个开源的上层应用与底层引擎之间的计算中间件,提供了强大的连接、复用、编排、扩展和处理能力。10月26日,Apache发布安全公告,修复了Linkis中的一个反序列化漏洞(CVE-2022-39944)。Apache Linkis版本原创 2022-10-30 19:35:31 · 889 阅读 · 0 评论 -
【漏洞通告】CVE-2022-34870 Apache Geode跨站脚本漏洞
10月24日,Apache发布安全公告,修复了Apache Geode中的一个跨站脚本漏洞(CVE-2022-34870)。在使用Pulse web应用程序查看区域条目时,Apache Geode 1.15.0及之前的版本中存在跨站脚本(XSS)漏洞,可能导致敏感信息泄露或恶意操作。Apache Geode 是一个数据管理平台,可在广泛分布的云架构中提供对数据密集型应用程序的实时、一致的访问。原创 2022-10-25 20:00:00 · 342 阅读 · 0 评论 -
【漏洞通告】CVE-2022-39198 Apache Dubbo Hession反序列化漏洞
Apache Dubbo是一款高性能、轻量级的开源服务框架,提供了RPC通信与微服务处理两大关键能力。10月18日,Apache发布安全公告,修复了影响Apache Dubbo多个版本的一个反序列化漏洞(CVE-2022-39198)。由于Dubbo hessian-lite 3.2.12及之前版本中存在反序列化漏洞,成功利用此漏洞可在目标系统上执行恶意代码。原创 2022-10-19 20:00:00 · 2097 阅读 · 3 评论 -
【漏洞通告】CVE-2022-36803 Atlassian Jira Align权限提升漏洞
Atlassian Jira Align是一个企业敏捷规划平台,可将工作与大规模的产品、项目和投资组合管理联系起来。10月14日,Atlassian修复了Jira Align中的一个权限提升漏洞(CVE-2022-36803),该漏洞的CVSS评分为6.5。由于Atlassian Jira Align 10.109.2 之前版本中的 MasterUserEdit API 允许经过身份验证且具有 People 角色权限的用户使用 MasterUserEdit API 将任何用户角色修改为超级管理员。原创 2022-10-17 14:09:08 · 344 阅读 · 0 评论 -
【漏洞通告】CVE-2022-42889 Apache Commons Text远程代码执行漏洞
10月13日,Apache发布安全公告,修复了Apache Commons Text中的一个远程代码执行漏洞(CVE-2022-42889)。Apache Commons Text版本1.5到1.9中,由于不安全的插值默认值,当输入的参数不受信任时,可能导致远程代码执行。Apache Commons Text 项目实现了一系列关于文本字符串的算法,专注于处理字符串和文本块。目前该漏洞已经修复,受影响用户可以升级到Apache Commons Text 1.10.0。原创 2022-10-14 15:38:22 · 3372 阅读 · 0 评论 -
【漏洞通告】 CVE-2022-40664 Apache Shiro 身份验证绕过漏洞
Apache Shiro是一个强大且易用的Java安全框架,它具有身份验证、访问授权、数据加密、会话管理等功能。Apache官方披露了Apache Shiro存在身份验证绕过漏洞,当通过 RequestDispatcher 进行转发或包含时存在身份验证绕过漏洞。不法分子则利用该漏洞在未授权的情况下,构造恶意数据绕过 Shiro 的权限配置机制,最终可绕过用户身份认证,导致权限校验失败。原创 2022-10-13 18:56:31 · 1856 阅读 · 0 评论