标签关键词

关于 漏洞 的文章共有34条

安全情报

Apache APISIX Dashboard身份验证绕过高危漏洞!!!

阅读(300)评论(0)

0#前言 近日,网络上出现 Apache APISIX Dashboard 身份验证绕过漏洞,攻击者可通过该漏洞绕过身份验证过程并通过某些 API 端点未经授权访问应用程序。 1#漏洞描述 Apache APISIX 是一个动态、实时、高性能的 API 网关, 提供负载均衡、动态上游、灰度发布、服务熔断、身份认证、可观测性等丰富的流量管理功能。Ap...

安全情报

紧急!Log4j最新低危漏洞升级为高危!

阅读(737)评论(0)

0#前言 还记得昨天发的那篇安全情报《Log4j 再爆漏洞(CVE-2021-45046)》吗? 地址:https://blog.aabyss.cn/post-148.html 这个漏洞今天升级为高危漏洞了,我今天人都傻了 1#漏洞详情 我们先来看一下Apache Log4j2 安全补丁之前的更新过程: 2021 年 12月 1...

安全情报

Log4j 再爆漏洞(CVE-2021-45046)

阅读(1278)评论(0)

1#时间线 让我们先来梳理一下时间线: 11月24日,阿里云安全团队向Apache官方报告了Apache Log4j2远程代码执行漏洞(CVE-2021-44228) 12月9日,漏洞漏洞PoC已公开,大量分析和在野利用出现 12月10日,Apache Log4j 2.15.0-rc1 版本仅修复LDA...

安全情报

Windows Active Directory域服务权限提升漏洞

阅读(163)评论(0)

1#漏洞简介 根据微软11月的安全更新信息,Microsoft Windows Active Directory域服务存在权限提升漏洞(CVE-2021-42278、CVE-2021-42287)。 Microsoft Windows Active Directory域服务权限提升漏洞(CVE-2021-42278、CVE-2021-42287)相关利用...

安全情报

Apache Log4j 远程RCE高危漏洞

阅读(1155)评论(0)

1#漏洞简介 Apache Log4j 是 Apache 的一个开源项目,Apache Log4j2是一个基于Java的日志记录工具。 该工具重写了Log4j框架,并且引入了大量丰富的特性。我们可以控制日志信息输送的目的地为控制台、文件、GUI组件等,通过定义每一条日志信息的级别,能够更加细致地控制日志的生成过程。该日志框架被大量用于业务系统开发,用来记...

漏洞复现

Grafana8.X 任意文件读取高危漏洞

阅读(492)评论(0)

1#漏洞简介 Grafana是一个跨平台、开源的数据可视化网络应用程序平台。用户配置连接的数据源之后,Grafana可以在网络浏览器里显示数据图表和警告。目前Grafana 8.x版本存在未授权任意文件读取漏洞,攻击者在未经身份验证的情况下可通过默认存在的插件,构造特殊的请求包读取服务器任意文件 2#影响版本 Grafana 8.X 系列 官方尚...

安全情报

Win11高危漏洞被公开

阅读(162)评论(0)

0#事件 GitHub上突然有人上传了一个Win11最新漏洞的利用办法,几天之内暴涨1300多星 微软漏洞发现赏金现已大幅缩水,曾有白帽黑客抱怨本来该获得 1 万美元的漏洞,最后只拿到 1 千美元,直接缩水 90%,于是这位黑客就直接将其放在Github上公开来了! 按这位黑客自己的说法“现在微软的赏金已成了垃圾”。 1#详细情况 通过...

漏洞复现

在野利用漏洞!!泛微E-Office文件上传漏洞(CNVD-2021-49104)

阅读(462)评论(0)

1#漏洞简介 泛微e-office是泛微旗下的一款标准协同移动办公平台。 近日,网络上出现 泛微E-Office 文件上传漏洞(CNVD-2021-49104)在野利用事件,由于 e-office 未能正确处理上传模块中的用户输入,攻击者可以通过该漏洞构造恶意的上传数据包,最终实现任意代码执行。 2#影响版本 泛微e-office V9.0 ...

安全情报

SonarQube漏洞导致大量源码泄露

阅读(1483)评论(0)

0#漏洞简介 SonarQube是一款开源静态代码质量分析管理工具,在默认配置的情况下,缺少对API 接口的访问权限控制,攻击者可利用该漏洞在未授权的情况下,通过访问api/settings/values接口从而获取到 SMTP、SVN、GitLab 凭据,进一步获取源代码数据仓库中的源代码,造成项目源代码泄露。同时还可以对使用默认账号密码的用户进行攻击,...

漏洞复现

Gitlab未授权RCE(CVE-2021-22205)漏洞

阅读(2490)评论(0)

0#漏洞简介 GitLab 是一个用于仓库管理系统的开源项目,使用 Git 作为代码管理工具,并在此基础上搭建起来的 Web服务。 GitLab是一款Ruby开发的Git项目管理平台。 如11.9以后的GitLab中,因为使用了图片处理工具ExifTool而受到漏洞CVE-2021-22204的影响,攻击者可以通过一个未授权的接口上传一张恶意构造的...