渊龙Sec安全团队博客

2022-5-23阅读(1301)评论(0)

1#漏洞概述 近日Fastjson Develop Team 发现 fastjson 1.2.80及以下存在新的风险，攻击者可以利用该漏洞攻击远程服务器, 可能会造成任意命令执行。 Fastjson 是一个 Java 库，可用于将 Java 对象转换为其 JSON字符串表示形式, 还可用于将 JSON 字符串转换为等效的 Java 对象。 2#...

2022-3-30阅读(3523)评论(0)

1#漏洞概述 3月29日，Spring框架曝出RCE 0day漏洞。已经证实由于 SerializationUtils#deserialize 基于 Java 的序列化机制，可导致远程代码执行 (RCE)，使用JDK9及以上版本皆有可能受到影响。 相关监测发现该漏洞可能已被远程攻击者利用，广东省网络安全应急响应中心连夜发布预警通知，考虑到Spring...

2022-3-27阅读(1437)评论(0)

1#漏洞描述 Google已经为Windows、Mac和Linux用户发布了Chrome 99.0.4844.84，以解决一个在外部被利用的高严重性零日漏洞。浏览器供应商在周五发布的安全公告中说："Google已经得知CVE-2022-1096的一个漏洞存在于外部。" 近日，Edge 和 Chrome 浏览器都收到了一个紧急补丁，以修补 Chromi...

2022-3-26阅读(5038)评论(0)

1#漏洞描述 近日，网络安全圈子内有关于 Spring Cloud Function远程代码执行漏洞的细节被流传，团队成员拿到后，经过分析后确认漏洞存在且有效。 Spring Cloud Function 是基于 Spring Boot 的函数计算框架，它抽象出所有传输细节和基础架构，允许开发人员保留所有熟悉的工具和流程，并专注于业务逻辑。 由于S...

2022-3-24阅读(3434)评论(0)

0#前言 说到底，事件才是网络安全的第一驱动力 没有事件，即便是超危漏洞也无人问津 1#漏洞描述 WPS Office是由北京金山办公软件股份有限公司自主研发的一款办公软件套装，可以实现办公软件最常用的文字、表格、演示，PDF阅读等多种功能。具有内存占用低、运行速度快、云功能多、强大插件平台支持、免费提供在线存储空间及文档模板的优点。 北京...

2022-2-20阅读(1315)评论(0)

1#漏洞描述 在 Apache APISIX 2.12.1 之前的版本中（不包含 2.12.1 和 2.10.4），启用 Apache APISIX batch-requests 插件之后，会存在改写 X-REAL-IP header 风险。 该风险会导致以下两个问题： 攻击者通过 batch-requests 插件绕过 Apache...

2021-12-28阅读(982)评论(0)

0#前言 近日，网络上出现 Apache APISIX Dashboard 身份验证绕过漏洞，攻击者可通过该漏洞绕过身份验证过程并通过某些 API 端点未经授权访问应用程序。 1#漏洞描述 Apache APISIX 是一个动态、实时、高性能的 API 网关， 提供负载均衡、动态上游、灰度发布、服务熔断、身份认证、可观测性等丰富的流量管理功能。Ap...

2021-12-25阅读(1564)评论(0)

1#前言 来了！！！大家都想争先尝鲜的Cobalt Strike 4.5出来了！ 文件来源于国外冲突论坛，请自测后门！本团队不承担相应后果！ https://raidforums.com/Thread-CobaltStrike4-5-jar-zer0daylab-are-rippers-this-may-be-fake-release?highli...