【高危安全通告】Jackson-databind远程代码执行漏洞

近日,安全狗关注到jackson-databind官方发布最新版本,当中修复了一处反序列化远程代码执行漏洞(CVE-2020-24616),漏洞存在于br.com.anteros:Anteros-DBCP库类中,攻击者可以通过精心构造的请求包在受影响的 Jackson 服务器上进行远程代码执行。 安全狗提醒使用jackson-databind的用户及时安排自检并做好安全加固……

【高危安全通告】宝塔面板数据库管理未授权访问漏洞

2020年8月23日,安全狗应急响应中心监测到宝塔官方发布的安全更新,修复了一处未授权访问的漏洞。 宝塔面板是一款使用方便、功能强大且终身免费的服务器管理软件,支持Linux与Windows系统。近日宝塔面馆官方发布了安全更新,修复了一处高危漏洞。攻击者通过访问特定路径,可以直接访问到phpmyadmin数据库管理界面,并……

【高危安全通告】Nexus Repository Manager 3.x 远程命令执行漏洞

近日,Sonatype Security Team官方发布了一则关于Nexus Repository Manager 3.x产品的远程代码执行漏洞通告。 Sonatype Nexus Repository 是一个开源的仓库管理系统,在安装、配置、使用简单的基础上提供了更加丰富的功能。近日Sonatype官方发布安全公告披露了在Nexus Repository Manager 3.x 版本中……

【高危安全通告】WebSphere Application Server远程代码执行漏洞

近日,安全狗安全运营中心监测到,WebSphere Application Server被曝存在一处IIOP反序列化漏洞(漏洞编号:CVE-2020-4450),漏洞被利用可导致远程代码执行。 为避免您的业务受影响,安全狗建议您及时开展安全自查,如在受影响范围,请您及时进行更新修复,避免被外部攻击者入侵。 WebSphere Application Server ……

【高危安全通告】Weblogic 多个远程代码执行漏洞

2020年7月14日,安全狗应急响应中心监测到Oracle官方发布安全公告,披露WebLogic服务器存在多个高危漏洞,包括反序列化等。黑客利用漏洞可能可以远程获取WebLogic服务器权限,风险较大。 WebLogic 是美国 Oracle 公司出品的 Java 应用服务器,WebLogic 是用于开发、集成、部署和管理大型分布式 Web 应用、网络应用和……

【高危安全通告】SAP NetWeaver AS Java 高危漏洞

近日,安全狗应急响应中心监测到 CVE-2020-6287 SAP NetWeaver AS Java高危漏洞。 SAP是SAP公司的产品企业管理解决方案的软件名称。SAP官方发布安全更新,修复了一个存在于SAP NetWeaver AS Java(LM配置向导)7.30至7.50版本中的严重漏洞CVE-2020-6287。未经身份验证的远程攻击者可以通过创建具有最大特权的新S……

【高危安全通告】Citrix 系列产品 多个高危漏洞

近日,安全狗应急响应中心监测到 Citrix 官方披露包含权限绕过,文件读取在内的多个高危漏洞,影响包括Citrix ADC、CitrixGateway在内的多个产品。Citrix是一套提供网络管理,防火墙,网关等功能的集成化平台。Citrix 官方于近日披露包含权限绕过,文件读取在内的多个高危漏洞。攻击者通过构造恶意请求包,能够对多个Cit……

【高危安全通告】F5 BIG-IP TMUI 远程代码执行漏洞

2020年7月3日,安全狗应急响应中心监测到 CVE-2020-5902 F5 BIG-IP TMUI 远程代码执行漏洞。F5 BIG-IP 是美国F5 公司的一款集成了网络流量管理、应用程序安全管理、负载均衡等功能的应用交付平台。2020年7月1日,F5官方公布流量管理用户界面(TMUI)存在前台远程执行代码(RCE)漏洞(CVE-2020-5902)。 攻击者利用该……

【高危安全通告】Apache Dubbo反序列化漏洞CVE-2020-1948补丁被绕过

2020年6月29日,安全狗应急响应中心监测到Apache Dubbo GitHub官方发布Pull requests修复CVE-2020-1948漏洞补丁存在被绕过现象,Dubbo <=2.7.7版本仍存在反序列化漏洞。目前官方还未发布新版本,漏洞属0day级,风险极大。 时间线 2020年6月23日,安全狗发布【漏洞预警】Apache Dubbo反序列化漏洞(CVE-2020-194……

【高危安全通告】Apache Tomcat HTTP2 DoS 漏洞

近日,安全狗安全运营中心监测到Apache Tomcat 安全团队报告了一个 Tomcat HTTP/2 DoS 漏洞(漏洞编号:CVE-2020-11996),在并发 HTTP/2 连接上进行连接时发送大量特制请求,导致服务器无响应。 特殊构造的HTTP/2 请求序列可能会在数秒内引发较高的 CPU 使用率,如果有足够数量的此类请求在并发 HTTP/2 连接上进行连……