FasterXML jackson-databind 代码问题漏洞
反序列化
FasterXML Jackson是美国FasterXML公司的一款适用于Java的数据处理工具。jackson-databind是其中的一个具有数据绑定功能的组件。
FasterXML jackson-databind 2.9.10之前版本中存在代码问题漏洞。攻击者可利用该漏洞执行代码。
Pivotal Software Spring Data JPA 信息泄露漏洞
信息暴露
Pivotal Software Spring Data JPA是美国Pivotal Software公司的一套用于简化并创建基于JPA的数据访问层开发的应用程序。
Pivotal Software Spring Data JPA中存在信息泄露漏洞。该漏洞源于网络系统或产品在运行过程中存在配置等错误。未授权的攻击者可利用漏洞获取受影响组件敏感信息。以下产品及版本受到影响:Pivotal Software Spring Data JPA 2.0版本至2.0.13版本,2.1版本至2.1.5版本,1.11版本至1.11.19版本,不再支持的老版本。
FasterXML jackson-databind 代码问题漏洞
反序列化
FasterXML jackson-databind是一个基于JAVA可以将XML和JSON等数据格式与JAVA对象进行转换的库。Jackson可以轻松的将Java对象转换成json对象和xml文档,同样也可以将json、xml转换成Java对象。
FasterXML jackson-databind 2.x版本至2.9.10.8版本存在代码问题漏洞,该漏洞源于错误地处理了序列化小工具和类型之间的交互,涉及到com.oracle.wls.shaded.org.apache.xalan.lib.sql.JNDIConnectionPool (aka embedded Xalan in org.glassfish.web/javax.servlet.jsp.jstl)。
FasterXML jackson-databind 代码问题漏洞
反序列化
FasterXML jackson-databind是一个基于JAVA可以将XML和JSON等数据格式与JAVA对象进行转换的库。Jackson可以轻松的将Java对象转换成json对象和xml文档,同样也可以将json、xml转换成Java对象。
jackson-databind before 2.9.10.7 存在代码问题漏洞,该漏洞源于fastxml错误地处理了序列化小部件和类型之间的交互。
SnakeYAML是一款基于Java的YAML解析器。
SnakeYAML 1.18版本中的Alias功能存在安全漏洞。攻击者可利用该漏洞造成拒绝服务。
Apache Zookeeper 信任管理漏洞
凭据管理错误
Apache Zookeeper是美国阿帕奇(Apache)软件基金会的一个软件项目,它能够为大型分布式计算提供开源的分布式配置服务、同步服务和命名注册等功能。
Apache Zookeeper中存在安全漏洞,该漏洞源于程序记录明文admin密码。本地攻击者可通过读取日志利用该漏洞获取敏感信息。
FasterXML jackson-databind 代码问题漏洞
反序列化
FasterXML Jackson是美国FasterXML公司的一款适用于Java的数据处理工具。jackson-databind是其中的一个具有数据绑定功能的组件。
FasterXML jackson-databind 2.0.0版本至2.9.10版本中存在代码问题漏洞。该漏洞源于网络系统或产品的代码开发过程中存在设计或实现不当的问题。攻击者可利用该漏洞执行恶意的payload。
Cognitect Datomic FREE 输入验证错误漏洞
输入验证不恰当
Cognitect Datomic是美国Cognitect公司的一套具有灵活数据模型、弹性扩展和查询的事务型数据库。H2是使用在其中的一个数据库引擎。
Cognitect Datomic 0.9.5697之前版本及其它产品中使用的H2 1.4.197版本存在输入验证漏洞,该漏洞源于CREATE ALIAS可以执行任意的Java代码。远程攻击者可利用该漏洞执行代码。
Spring Data Commons 安全漏洞
不加限制或调节的资源分配
Spring Data Commons,版本 1.13 到 1.13.10、2.0 到 2.0.5 以及更旧的不受支持的版本,包含由无限资源分配导致的属性路径解析器漏洞。未经身份验证的远程恶意用户(或攻击者)可以向 Spring Data REST 端点或使用属性路径解析的端点发出请求,这可能导致拒绝服务(CPU 和内存消耗)。
Junit 信息泄露漏洞
关键资源的不正确权限授予
Junit是个人开发者的一个开放源代码的Java测试框架。
JUnit4 4.13.1之前版本存在信息泄露漏洞,该漏洞源于测试规则TemporaryFolder包含一个本地信息泄露漏洞。在类似Unix的系统中,系统的临时目录在该系统上的所有用户之间共享。因此,在将文件和目录写入此目录时,默认情况下,相同系统上的其他用户都可以读取它们。此漏洞不允许其他用户覆盖这些目录或文件的内容。这纯粹是一个信息披露的漏洞。如果JUnit测试编写了敏感信息,这个漏洞就会对您造成影响。
org.springframework:spring-context 存在拒绝服务漏洞
拒绝服务
Spring Framework 是一个 Java 平台,它为开发 Java 应用程序提供全面的基础架构支持。
在漏洞版本中,CronSequenceGenerator 构造函数未对传入的参数进行检验从而进入无限循环,发生拒绝服务 (DoS) 的攻击。
FasterXML jackson-databind代码问题漏洞
反序列化
FasterXML Jackson是美国FasterXML公司的一款适用于Java的数据处理工具。jackson-databind是其中的一个具有数据绑定功能的组件。
FasterXML jackson-databind 2.9.10.5之前的2.x版本中存在安全漏洞。目前没有详细漏洞细节提供。
当攻击者对 Log4j 配置具有写访问权限时,Log4j 1.2 中的 JMSAppender 容易受到不受信任数据的反序列化。攻击者可以提供 TopicBindingName 和 TopicConnectionFactoryBindingName 配置,导致 JMSAppender 执行 JNDI 请求,从而以类似于 CVE-2021-44228 的方式执行远程代码。请注意,此问题仅在专门配置为使用 JMSAppender(不是默认设置)时影响 Log4j 1.2。 Apache Log4j 1.2 已于 2015 年 8 月结束生命周期。用户应升级到 Log4j 2,因为它解决了以前版本中的许多其他问题。
spring-boot 安全漏洞
将资源暴露给错误范围
spring-boot是Pivotal团队的一种开源应用框架。
spring-boot 2.2.11 之前版本存在安全漏洞,该漏洞源于容易受到临时目录劫持。
spring-beans 远程代码执行漏洞(Spring4Shell)
表达式注入
spring-beans 负责实现 Spring 框架的 IOC 模块。
CVE-2010-1622 中曾出现由于参数自动绑定机制导致的问题, 通过黑名单的方式修复了该漏洞,但是 JDK9之后引入了 Module,使得可以通过 getModule 绕过前者的黑名单限制,导致远程代码执行。
org.springframework:spring-beans的5.3.0 至 5.3.17、5.2.0.RELEASE 至
5.2.19.RELEASE 版本都受到影响。
Red Hat RESTEasy 跨站脚本漏洞
XSS
Red Hat RESTEasy是美国红帽(Red Hat)公司的一个JBoss的开源项目,它提供了用于构建RESTful Web Services和RESTful Java应用程序的各种框架。
Red Hat RESTEasy中的JacksonJsonpInterceptor存在安全漏洞。攻击者可利用该漏洞注入任意Web脚本或HTML。
Pivotal Spring Framework 安全漏洞
对外部实体的文件或目录可访问
Pivotal Spring Framework是美国Pivotal Software公司的一套开源的Java、Java EE应用程序框架。该框架可帮助开发人员构建高质量的应用。
Pivotal Spring Framework中存在安全漏洞。攻击者可利用该漏洞实施反射文件下载攻击。以下版本受到影响:Spring Framework 4.2.0版本至4.2.1版本,4.0.0版本至4.1.7版本,3.2.0版本至3.2.14版本,更早的已不再支持的版本。
Pivotal Software Spring Data Commons和Spring Data REST 输入验证错误漏洞
输入验证不恰当
Spring Data Commons受影响版本,以及不受支持的旧版本,包含一个属性绑定器漏洞,该漏洞是由于对特殊元素的不正确中和导致的。未经身份验证的远程恶意用户(或攻击者)可以针对 Spring Data REST 支持的 HTTP 资源提供特制的请求参数,或者使用 Spring Data 的基于投影的请求有效负载绑定帽子可能导致远程代码执行攻击。
FasterXML jackson-databind XXE漏洞
FasterXML Jackson是美国FasterXML公司的一款用于Java的数据处理工具。Jackson-databind是其中的一个具有数据绑定功能的组件。
FasterXML Jackson-databind 2.9.7之前的2.x版本中存在XXE漏洞,远程攻击者可利用该漏洞执行XML外部实体注入攻击。
FasterXML jackson-databind 代码问题漏洞
反序列化
FasterXML jackson-databind是一个基于JAVA可以将XML和JSON等数据格式与JAVA对象进行转换的库。Jackson可以轻松的将Java对象转换成json对象和xml文档,同样也可以将json、xml转换成Java对象。
FasterXML jackson-databind 2.9.10之前版本中存在代码问题漏洞。该漏洞源于网络系统或产品的代码开发过程中存在设计或实现不当的问题。
评论