2020年6月29日，安全狗应急响应中心监测到Apache Dubbo GitHub官方发布Pull requests修复CVE-2020-1948漏洞补丁存在被绕过现象，Dubbo <=2.7.7版本仍存在反序列化漏洞。目前官方还未发布新版本，漏洞属0day级，风险极大。 时间线 2020年6月23日，安全狗发布【漏洞预警】Apache Dubbo反序列化漏洞（CVE-2020-194……

近日，安全狗安全运营中心监测到Apache Tomcat 安全团队报告了一个 Tomcat HTTP/2 DoS 漏洞（漏洞编号：CVE-2020-11996），在并发 HTTP/2 连接上进行连接时发送大量特制请求，导致服务器无响应。 特殊构造的HTTP/2 请求序列可能会在数秒内引发较高的 CPU 使用率，如果有足够数量的此类请求在并发 HTTP/2 连接上进行连……

近日，安全狗运营中心监测到，ApacheSpark发布安全更新公告，披露了Spark2.4.5和更早版本中存在的远程代码执行漏洞（CVE-2020-9480），攻击者可利用该漏洞远程启动Spark集群上的应用程序资源，从而造成任意命令执行。 为避免您的业务受影响，安全狗建议您及时开展安全自查，如在受影响范围，请您及时进行更新修复，避……

近日，安全狗运营中心监测到Apache Dubbo披露了Provider反序列化远程代码执行漏洞（CVE-2020-1948）。 Apache Dubbo是一款应用广泛的Java RPC分布式服务框架。Apache Dubbo于2020年6月23日披露在Dubbo Provider中存在一个反序列化远程代码执行漏洞（CVE-2020-1948），攻击者可以构造并发送带有恶意参数负载的RPC请求……

近日，安全狗运营中心监测到，微软发布了2020年6月的一批软件安全更新，修补了总共129个新发现的漏洞，这些漏洞影响Windows操作系统和相关产品的各种版本。为避免您的业务受影响，安全狗安全团队建议您及时开展安全自查，如在受影响范围，请您及时进行更新修复，避免被外部攻击者入侵。 在此次公告中有三个漏洞需要引……

2020年6月4日，安全狗威胁情报中心监测到有国内安全组织披露用友NC存在反序列化远程命令执行“0-Day”漏洞。经安全狗安全团队分析，漏洞真实存在，攻击者通过构造特定的HTTP请求，可以成功利用漏洞在目标服务器上执行任意命令，该漏洞风险极大，可能造成严重的信息泄露事件。 用友NC是一款企业级管理软件，在近万家大中……

近日，安全狗监测到，Spring Cloud Config官方发布了 Spring Cloud Config Server 目录遍历的风险通告（漏洞编号为 CVE-2020-5410），远程攻击者可以通过发送一个特殊构造的HTTP请求，造成任意文件读取。为避免您的业务受影响，安全狗建议您及时开展安全自查，如在受影响范围，请您及时进行更新修复，避免被外部攻击者入……

2020年5月28日，Apache Kylin官方发布安全公告，披露了一个Apache Kylin远程代码执行漏洞。Kylin有一些restful API，可以将os命令与用户输入字符串连接起来，攻击者可以在Kylin没有任何保护或验证的情况下执行任何os命令。 Apache Kylin是一个开源的、分布式的分析型数据仓库，提供 Hadoop 之上的 SQL 查询接口及多维……

安全狗监测到有消息称Fastjson<=1.2.68版本中存在一个高危漏洞。攻击者可以绕过autotype限制，但必须利用不在黑名单中的gadgets，实际造成的危害与利用的gadgets有关。 fastjson是阿里巴巴的开源JSON解析库，它可以解析JSON格式的字符串，支持将Java Bean序列化为JSON字符串，也可以从JSON字符串反序列化到JavaBea……

2020年5月20日 ，Apache Tomcat官方发布安全公告，披露了一个通过持久化Session可能导致远程代码执行的漏洞CVE-2020-9484。 ApacheTomcat是由Apache软件基金会属下Jakarta项目开发的Servlet容器。攻击者可能可以构造恶意请求，造成反序列化代码执行漏洞。成功利用该漏洞需要同时满足下列四个条件：1. 攻击者能够控制……