渊龙Sec安全团队博客

2022-3-26阅读(5032)评论(0)

1#漏洞描述 近日，网络安全圈子内有关于 Spring Cloud Function远程代码执行漏洞的细节被流传，团队成员拿到后，经过分析后确认漏洞存在且有效。 Spring Cloud Function 是基于 Spring Boot 的函数计算框架，它抽象出所有传输细节和基础架构，允许开发人员保留所有熟悉的工具和流程，并专注于业务逻辑。 由于S...

2022-3-24阅读(3431)评论(0)

0#前言 说到底，事件才是网络安全的第一驱动力 没有事件，即便是超危漏洞也无人问津 1#漏洞描述 WPS Office是由北京金山办公软件股份有限公司自主研发的一款办公软件套装，可以实现办公软件最常用的文字、表格、演示，PDF阅读等多种功能。具有内存占用低、运行速度快、云功能多、强大插件平台支持、免费提供在线存储空间及文档模板的优点。 北京...

2022-2-20阅读(1306)评论(0)

1#漏洞描述 在 Apache APISIX 2.12.1 之前的版本中（不包含 2.12.1 和 2.10.4），启用 Apache APISIX batch-requests 插件之后，会存在改写 X-REAL-IP header 风险。 该风险会导致以下两个问题： 攻击者通过 batch-requests 插件绕过 Apache...

2021-12-28阅读(980)评论(0)

0#前言 近日，网络上出现 Apache APISIX Dashboard 身份验证绕过漏洞，攻击者可通过该漏洞绕过身份验证过程并通过某些 API 端点未经授权访问应用程序。 1#漏洞描述 Apache APISIX 是一个动态、实时、高性能的 API 网关， 提供负载均衡、动态上游、灰度发布、服务熔断、身份认证、可观测性等丰富的流量管理功能。Ap...

2021-12-17阅读(1410)评论(0)

0#前言 还记得昨天发的那篇安全情报《Log4j 再爆漏洞（CVE-2021-45046）》吗？ 地址：https://blog.aabyss.cn/post-148.html 这个漏洞今天升级为高危漏洞了，我今天人都傻了 1#漏洞详情 我们先来看一下Apache Log4j2 安全补丁之前的更新过程： 2021 年 12月 1...

2021-12-14阅读(665)评论(1)

1#漏洞简介 根据微软11月的安全更新信息，Microsoft Windows Active Directory域服务存在权限提升漏洞（CVE-2021-42278、CVE-2021-42287）。 Microsoft Windows Active Directory域服务权限提升漏洞（CVE-2021-42278、CVE-2021-42287）相关利用...

2021-12-8阅读(1072)评论(0)

1#漏洞简介 Grafana是一个跨平台、开源的数据可视化网络应用程序平台。用户配置连接的数据源之后，Grafana可以在网络浏览器里显示数据图表和警告。目前Grafana 8.x版本存在未授权任意文件读取漏洞，攻击者在未经身份验证的情况下可通过默认存在的插件，构造特殊的请求包读取服务器任意文件 2#影响版本 Grafana 8.X 系列 官方尚...