声明
以下内容,均摘自于互联网,由于传播,利用此文所提供的信息而造成的任何直接或间接的后果和损失,均由使用者本人负责,雷神众测以及文章作者不承担任何责任。
雷神众测拥有该文章的修改和解释权。如欲转载或传播此文章,必须保证此文章的副本,包括版权声明等全部内容。声明雷神众测允许,不得任意修改或增减此文章内容,不得以任何方式将其用于商业目的。
目录
1、Apache Shiro身份验证绕过漏洞
2、通达OA多枚0day漏洞
3、深信服edr控制端存在大量RCE漏洞
4、天融信dlp-未授权+越权漏洞
漏洞详情
1.Apache Shiro身份验证绕过漏洞
漏洞介绍:
CVE-2020-13933漏洞,漏洞基于Apache Shiro 1.5.3版本的不完全修复,恶意攻击者可以通过构造行特殊编码的请求绕过身份验证,从而突破原本受限的权限
漏洞危害:
根据公告,在业务系统使用Apache Shiro 1.6.0之前版本的场景中,恶意攻击者可以构造特殊HTTP请求来绕过身份验证,从而获得原本受限的访问权限,建议使用该组件的系统及时更新到漏洞修复的版本。
影响范围:
Apache Shiro 1.6.0之前版本,建议更新到1.6.0或以上版本
修复方案:
高危:目前漏洞细节和利用代码虽暂未公开,但可以通过补丁对比方式逆向分析出漏洞触发点,并进一步开发出漏洞利用代码,建议及时测试并更新到漏洞修复的版本,或部署必要的安全防护设备拦截恶意攻击代码。