Apache Unomi 远程代码执行漏洞(CVE-2020-13942)复现

最新推荐文章于 2024-06-08 10:04:43 发布
最新推荐文章于 2024-06-08 10:04:43 发布
阅读量246 收藏
点赞数
文章标签: 漏洞复现 安全 安全漏洞
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_45742511/article/details/115158063
版权

简介

Apache Unomi是一个Java开源客户数据平台,这是一个Java服务器,旨在管理客户,潜在顾客和访问者的数据,并帮助个性化客户体验。Unomi可用于在非常不同的系统(例如CMS,CRM,问题跟踪器,本机移动应用程序等)中集成个性化和配置文件管理。

漏洞描述

Apache Unomi允许远程攻击者使用可能包含任意类的MVEL和OGNL表达式发送恶意请求,从而产生具有Unomi应用程序特权的远程代码执行(RCE)。

影响版本

Apache Unomi < 1.5.2

漏洞复现

在首页进行抓包:
在这里插入图片描述
对数据包进行修改:

保留以下字段:
在这里插入图片描述
方式改为POST,并添加:

Content-Type:application/json
Content
最低0.47元/天 解锁文章
「已注销」
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
CVE-2020-13942 Apache Unomi 远程代码执行.md
04-13
CVE-2020-13942 Apache Unomi 远程代码执行
CVE-2020-13925 Apache Kylin 远程命令执行漏洞.md
04-12
CVE-2020-13925 Apache Kylin 远程命令执行漏洞
Redis 未授权访问 CNNVD-201511-230 漏洞复现
Senimo
05-03 1887
CNNVD-201511-230 Redis 未授权访问漏洞一、漏洞描述二、漏洞影响三、漏洞复现1、环境搭建2、漏洞复现四、漏洞POC五、参考链接六、利用工具 一、漏洞描述 Redis 是美国 RedisLabs 公司赞助的一套开源的使用 ANSIC 编写、支持网络、可基于内存亦可持久化的日志型、键值(Key-Value)存储数据库,并提供多种语言的 API。Redis 中存在未授权访问漏洞,该漏洞源于程序在默认配置下会绑定在 6379 端口,这导致其直接暴露在公网中,可以接受来自任何地址发来的请求。当程序
【网络安全---漏洞复现】shiro550反序列化漏洞原理与漏洞复现和利用(基于vulhub,保姆级的详细教程)
m0_67844671的博客
09-21 4489
shiro550反序列化漏洞原理与漏洞复现和利用(基于vulhub,保姆级的详细教程);Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理。使用Shiro的易于理解的API,您可以快速、轻松地获得任何应用程序,从最小的移动应用程序到最大的网络和企业应用程序;
探索个性化用户体验的利器 —— Apache Unomi
最新发布
gitblog_00096的博客
06-08 321
探索个性化用户体验的利器 —— Apache Unomi 项目地址:https://gitcode.com/apachearrow-nanoarrow/unomi 在当今数据驱动的时代,用户的每一次点击都蕴藏着巨大的价值,个性化的体验已成为企业竞争的新高地。今天,我们要向您隆重推荐一款开源神器——Apache Unomi,它如同一位幕后英雄,在A/B测试和个性化推荐中默默支撑,帮助您的业务精准触达...
为什么Apache Unomi开源[客户数据平台」值得一看
全网:架构师研究会
11-24 707
客户体验(CX)要求个性化,而个性化要求访问各种各样的客户数据。如今,这些数据通常在独立的、孤立的记录和参与系统中维护。然而,市场营销人员需要一个统一的360度客户数据视图来个性化内容并提出相关建议。客户数据平台(CDP)由此诞生,这是一种相对较新的CX数据主数据管理方法。自从cdp这个类别首次出现以来,在过去的18个月里,有很多关于cdp的文章。CMSWire之前发表的...
Vulfocus靶场漏洞复现系列—1
tlovejr的博客
03-02 5862
文章目录 前言 一、pandas是什么? 二、使用步骤 总结 前言 接下来会给大家介绍一些最常见的复现漏洞过程,我所用的是Vulfocus靶场,靶场安装方法已经在上一篇文章讲过,大家可以自行去观看。如果大家想及时获取最新漏洞消息,大家可以直接cnvdhttps://www.cnvd.org.cn/去查看即可,小白入门,如果在博客中有什么错误,还请各位大佬指出。 一、Drupal远程代码执行漏(CVE-2019-6340) 1、漏洞介绍 Drupal官方之前更新了一个非常关键的安全补丁,
漏洞复现
weixin_43948394的博客
07-19 2895
CMS漏洞复现 Dedecms v5.7 sp2版本tpl.php存在代码执行漏洞,可以利用该漏洞在增加的新的标签中上传木马。开启PHP study,创建数据库,通过网页访问搭建环境,因为是后台漏洞,所以登陆到后台,构造payload成功写入木马,之后连接中国蚁剑,可以控制网站部分权限。漏洞复现的目的是学会哪些地方容易有漏洞,应该怎么处理发现的漏洞。 XSS XSS攻击通常指的是通过利用网页开发时...
CVE-2020-21224 ClusterEngineV4.0 远程代码执行.md
04-11
CVE-2020-21224 ClusterEngineV4.0 远程代码执行
cve-2020-14750.zip9(补丁升级)
05-26
2020年11月2日,Oracle官方发布了此安全警报针对Oracle WebLogic Server中的远程代码执行漏洞CVE-2020-14750,此漏洞可以在没有身份验证的情况下进行远程攻击,也就是说,可以在不需要用户名和密码的情况下通过网络...
unomi-site:Apache Unomi网站
05-13
Apache Unomi网站源存储库 该项目包含Apache Unomi网站。 该网站是使用Maven过滤(针对版本号)生成的,然后传递给Jenkins以使用模板构建页面。 建造 您需要一台安装了Maven的机器来构建网站。 查看: git clone https://github.com/apache/unomi-site 运行构建: mvn clean install 生成的站点将位于target / generation-jekyll中 发布 要将本地网站发布到生产位置( ),您必须使用: mvn clean install scm-publish:publish-scm -Dusername=YOUR_APACHE_USERNAME -Dpassword=YOUR_APACHE_PASSWORD 生成jekyll网站 mvn clean install install
【网络安全---漏洞复现】Tomcat CVE-2020-1938 漏洞复现和利用过程(特详细)
热门推荐
m0_67844671的博客
09-12 1万+
Tomcat CVE-2020-1938 漏洞复现和利用过程(特详细);Apache Tomcat文件包含漏洞(CNVD-2020-10487/CVE-2020-1938)。该漏洞是由于Tomcat AJP协议存在缺陷而导致,攻击者利用该漏洞可通过构造特定参数,读取服务器webapp下的任意文件。若目标服务器同时存在文件上传功能,攻击者可进一步实现远程代码执行。AJP(Apache JServ Protocol)是定向包协议。因为性能原因,使用二进制格式来传输可读性文本。WEB服务器通过 TCP连接
log4j漏洞复现
weixin_68647219的博客
04-20 4591
2021年12月8号爆出的log4j2的远程代码执行漏洞cve-2021-44228】,堪称史诗级核弹漏洞,虽然过了这么久,大部分现网中的相关漏洞已经修复,但任然可以捡漏…,网上也有不少大佬和研究机构都对该漏洞做了分析和复盘,年前年后比较忙,一直没有好好的分析总结该漏洞,最近学习下刚好补上。
渗透测试之中间件漏洞复现
kali_Ma的博客
02-08 1957
介绍: ​ WebLogic是由美国Oracle公司出品的一application server,准确的说就是一个基于JAVAEE而开发的一个中间件,类似Tomcat,WebLogic是一个用于开发,集成,部署与管理大型分布式Web应用,网络应用和数据库的java应用服务器。将java动态功能与java Enterprise标准的安全性引入大型网络应用的开发,集成,部署与管理之中。 ​ 其实WebLogic与我们所用的Tomcat定位一样,是用于部署java web程序的服务器,用于连接客户端与服务器甚至可
漏洞复现篇——任意代码命令执行漏洞复现及防御
爱国小白帽
02-27 3965
什么是代码执行: 当应用在调用一些能将字符串转化成代码的函数时,没有考虑用户是否能够控制这个字符串,将造成代码注入漏洞代码执行函数: 在php中:eval,assert,preg_replace(‘/*/e’, 'ret="1";′,ret = "\\1";',ret="1";′,data); 在asp中:eval, exevute,executeglobal 在jsp中:jsp中没有p...
DocCMS keyword SQL注入
自强不息
10-14 388
道虽远,行则易至;儒虽难,坚为易成
【CDP】为什么Apache Unomi开源[客户数据平台」值得一看
全网:架构师研究会
04-16 345
客户体验(CX)要求个性化,而个性化要求访问各种各样的客户数据。如今,这些数据通常在独立的、孤立的记录和参与系统中维护。然而,市场营销人员需要一个统一的360度客户数据视图来个性化内容并提出相关建议。客户数据平台(CDP)由此诞生,这是一种相对较新的CX数据主数据管理方法。自从cdp这个类别首次出现以来,在过去的18个月里,有很多关于cdp的文章。CMSWire之前发表的一篇文章提供了CDPs的一...
Apache Spark 命令注入漏洞CVE-2022-33891)修复与利用
Apache Spark 命令注入漏洞CVE-2022-33891)是 Apache Spark 中的一种高危漏洞,允许攻击者通过命令注入来执行恶意命令,从而控制服务器。该漏洞影响 Apache Spark 版本小于 3.0.3、3.1.1 到 3.1.2 以及 3.3.0 及...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值