FasterXML jackson-databind 代码问题漏洞
反序列化
FasterXML Jackson是美国FasterXML公司的一款适用于Java的数据处理工具。jackson-databind是其中的一个具有数据绑定功能的组件。
FasterXML Jackson-databind 2.7.9.4之前版本、2.8.11.2之前版本和2.9.6之前版本中存在代码问题漏洞。远程攻击者可利用该漏洞在受影响应用程序的上下文中执行任意代码或造成拒绝服务。
FasterXML Jackson jackson-databind代码问题漏洞
反序列化
FasterXML Jackson是美国FasterXML公司的一款适用于Java的数据处理工具。jackson-databind是其中的一个具有数据绑定功能的组件。
FasterXML jackson-databind 2.9.10.2之前的2.x版本中存在代码问题漏洞。该漏洞源于网络系统或产品的代码开发过程中存在设计或实现不当的问题。目前没有详细漏洞细节提供。
Pivotal Spring Security和Spring Framework 安全漏洞
权限、特权和访问控制
Pivotal Spring Security和Spring Framework都是美国Pivotal Software公司的产品。前者是一套为基于Spring的应用程序提供说明性安全保护的安全框架,后者是一套开源的Java、Java EE应用程序框架。
Pivotal Spring Security和Spring Framework中存在安全漏洞。攻击者可利用该漏洞绕过安全限制,执行未授权操作。以下版本受到影响:Pivotal Spring Security 3.2.x版本,4.0.x版本,4.1.x版本,4.2.x版本;Spring Security 3.2.x版本,4.0.x版本,4.1.0版本。
FasterXML jackson-databind 代码问题漏洞
反序列化
FasterXML Jackson是美国FasterXML公司的一款适用于Java的数据处理工具。jackson-databind是其中的一个具有数据绑定功能的组件。
FasterXML jackson-databind 2.9.10之前版本中存在代码问题漏洞。攻击者可利用该漏洞执行代码。
FasterXML Jackson-databind代码问题漏洞
反序列化
FasterXML Jackson是美国FasterXML公司的一款适用于Java的数据处理工具。jackson-databind是其中的一个具有数据绑定功能的组件。
FasterXML jackson-databind 2.7.9.4之前版本、2.8.11.2之前版本和2.9.6之前版本中存在安全漏洞。攻击者可利用该漏洞执行执行代码。
Red Hat Hibernate ORM SQL注入漏洞
SQL注入
在 5.4.23.Final 之前的版本(包括 5.4.23.Final)中,在 hibernate-core 中发现了一个缺陷。当查询的 SQL 注释中使用文字时,JPA Criteria API 实现中的 SQL 注入可能允许未经处理的文字。此漏洞可能允许攻击者访问未经授权的信息或可能进行进一步的攻击。此漏洞的最大威胁是数据机密性和完整性。
FasterXML jackson-databind反序列化漏洞
反序列化
FasterXML Jackson是美国FasterXML公司的一款适用于Java的数据处理工具。jackson-databind是其中的一个具有数据绑定功能的组件。
FasterXML jackson-databind 2.9.10.4之前的2.x版本中存在安全漏洞,该漏洞源于org.apache.aries.transaction.jms.internal.XaPooledConnectionFactory(aries.transaction.jms)进行了不安全的反序列化。远程攻击者可借助特制的输入利用该漏洞在系统上执行任意代码。
FasterXML jackson-databind 代码问题漏洞
反序列化
FasterXML jackson-databind是一个基于JAVA可以将XML和JSON等数据格式与JAVA对象进行转换的库。Jackson可以轻松的将Java对象转换成json对象和xml文档,同样也可以将json、xml转换成Java对象。
jackson-databind before 2.9.10.7 存在代码问题漏洞,该漏洞源于fastxml错误地处理了序列化小部件和类型之间的交互。
Shibboleth 安全漏洞
对宿主不匹配的证书验证不恰当
Shibboleth是英国Shibboleth公司的一套基于Windows平台的开源的SAML协议的Web单点登录系统。Identity Provider(IdP)是其中的一个用户信息提供程序。OpenSAML Java(OpenSAML-J)是其中的一个使用Java语言编写的开源且用于实现SAML(Security Assertion Markup Language,安全断言标记语言)的库。
Shibboleth IdP 2.4.1之前版本和OpenSAML Java 2.6.2版本中存在安全漏洞,该漏洞源于HttpResource和FileBackedHttpResource的实现没有验证服务器主机名与X.509证书中的域名是否匹配。攻击者可借助任意有效的证书利用该漏洞伪造SSL服务器。
FasterXML jackson-databind 代码问题漏洞
反序列化
2.9.10.8 之前的 FasterXML jackson-databind 2.x 错误处理了与 org.apache.tomcat.dbcp.dbcp.datasources.PerUserPoolDataSource 相关的序列化小工具和类型之间的交互。
Vmware Spring Framework 安全特征问题漏洞
大小写敏感处理不恰当
Vmware Spring Framework是美国威睿(Vmware)公司的一套开源的Java、JavaEE应用程序框架。
Vmware Spring Framework的disallowedFields 模式区分大小写,这意味着除非字段同时列出字段的第一个字符小写,包括属性路径中所有嵌套字段的第一个字符的大写和小写,否则远程攻击者利用该漏洞可以绕过实施的安全限制。
Oracle MySQL Connectors组件安全漏洞
SQL注入
Oracle MySQL是美国甲骨文(Oracle)公司的一套开源的关系数据库管理系统。该数据库系统具有性能高、成本低、可靠性好等特点。MySQL Connectors是其中的一个连接使用MySQL的应用程序的驱动程序。
Oracle MySQL 5.1.34及之前版本的MySQL Connectors组件中的Connector/J子组件存在安全漏洞。远程攻击者可利用该漏洞读取、更新、插入或删除数据,影响数据的保密性和完整性。
FasterXML jackson-databind任意代码执行漏洞
反序列化
FasterXML Jackson是美国FasterXML公司的一款用于Java的数据处理工具。Jackson-databind是其中的一个具有数据绑定功能的组件。
FasterXML Jackson-databind 2.9.7之前的2.x版本中存在任意代码执行漏洞,远程攻击者可利用该漏洞执行任意代码。
FasterXML jackson-databind 代码问题漏洞
反序列化
FasterXML jackson-databind是一个基于JAVA可以将XML和JSON等数据格式与JAVA对象进行转换的库。Jackson可以轻松的将Java对象转换成json对象和xml文档,同样也可以将json、xml转换成Java对象。
FasterXML jackson-databind 2.9.9之前的2.x版本中存在代码问题漏洞。该漏洞源于网络系统或产品在运行过程中存在配置等错误。未授权的攻击者可利用漏洞获取受影响组件敏感信息。
FasterXML jackson-databind 代码问题漏洞
反序列化
2.9.10.8 之前的 FasterXML jackson-databind 2.x 错误处理了与 org.apache.tomcat.dbcp.dbcp2.datasources.SharedPoolDataSource 相关的序列化小工具和类型之间的交互。
FasterXML Jackson databind代码问题漏洞
反序列化
FasterXML Jackson是美国FasterXML公司的一款适用于Java的数据处理工具。jackson-databind是其中的一个具有数据绑定功能的组件。 FasterXML jackson-databind 2.8.11.5之前版本和2.9.0版本及之后版本(2.9.10版本已修复)中存在代码问题漏洞。攻击者可利用该漏洞执行任意代码。
FasterXML jackson-databind代码问题漏洞
反序列化
FasterXML Jackson是美国FasterXML公司的一款适用于Java的数据处理工具。jackson-databind是其中的一个具有数据绑定功能的组件。
FasterXML jackson-databind 2.9.10.4之前的2.x版本中存在安全漏洞。目前没有详细的漏洞细节提供。
Apache Batik(又名Batik SVG Toolkit或Batik Java SVG Toolkit)是美国阿帕奇(Apache)软件基金会的一套基于Java的主要用于处理SVG格式图像的应用程序。
Apache Batik 1.9之前的版本中存在安全漏洞。远程攻击者可通过发送恶意的SVG文件利用该漏洞获取信息或造成拒绝服务。
Oracle MySQL Connectors访问控制错误漏洞
使用候选路径或通道进行的认证绕过
Oracle MySQL是美国甲骨文(Oracle)公司的一套开源的关系数据库管理系统。该数据库系统具有性能高、成本低、可靠性好等特点。MySQL Connectors是其中的一个连接使用MySQL的应用程序的驱动程序。
Oracle MySQL Connectors存在访问控制错误漏洞。攻击者可利用该漏洞控制组件,影响数据的保密性、完整性和可用性。
Cognitect Datomic FREE 输入验证错误漏洞
输入验证不恰当
Cognitect Datomic是美国Cognitect公司的一套具有灵活数据模型、弹性扩展和查询的事务型数据库。H2是使用在其中的一个数据库引擎。
Cognitect Datomic 0.9.5697之前版本及其它产品中使用的H2 1.4.197版本存在输入验证漏洞,该漏洞源于CREATE ALIAS可以执行任意的Java代码。远程攻击者可利用该漏洞执行代码。
评论