Spring Framework 外部实体注入漏洞
Spring Framework 3.2.5 之前的 Spring MVC 中的 SourceHttpMessageConverter 和 4.0.0.M1 到 4.0.0.RC1 没有禁用外部实体解析,这使得远程攻击者可以读取任意文件,导致拒绝服务,并进行 CSRF 攻击通过精心设计的 XML,即 XML 外部实体 (XXE) 问题,以及与 CVE-2013-4152 和 CVE-2013-7315 不同的漏洞。
Apache Struts 2 拒绝服务漏洞
输入验证不恰当
Apache Struts是美国阿帕奇(Apache)软件基金会负责维护的一个开源项目,是一套用于创建企业级Java Web应用的开源MVC框架,主要提供两个版本框架产品,Struts 1和Struts 2。Apache Struts 2是Apache Struts的下一代产品,是在Struts 1和WebWork的技术基础上进行了合并的全新Struts 2框架,其体系结构与Struts 1差别较大。
Apache Struts 2.0.0版本至2.3.24.1版本的OGNL表达式语言中存在安全漏洞,该漏洞源于程序没有正确实现用于存储方法引用的缓存。远程攻击者可利用该漏洞造成拒绝服务(访问终止)。
FasterXML Jackson databind代码问题漏洞
反序列化
FasterXML Jackson是美国FasterXML公司的一款适用于Java的数据处理工具。jackson-databind是其中的一个具有数据绑定功能的组件。 FasterXML jackson-databind 2.8.11.5之前版本和2.9.0版本及之后版本(2.9.10版本已修复)中存在代码问题漏洞。攻击者可利用该漏洞执行任意代码。
Apache Commons Collections 远程代码执行漏洞
反序列化
Apache Commons Collections 是对Java 集合的扩展。
该组件从3.0起引入的InvokerTransformer类可被用于构造执行任意代码,作为反序列化等漏洞的跳板(gadget),从而执行任意系统命令。
org.codehaus.plexus:plexus-utils 存在路径遍历漏洞
路径遍历
Codehaus Plexus 是 Apache Maven 使用的组件集合。此软件包的受影响版本容易受到目录遍历的影响。
org.apache.httpcomponents:httpclient 存在相对路径遍历漏洞
相对路径遍历
org.apache.httpcomponents:httpclient 是 Apache HttpComponents 项目的一个 HttpClient 组件。此软件包的受影响版本容易受到目录遍历的影响。
Pivotal Spring Security和Spring Framework 安全漏洞
权限、特权和访问控制
Pivotal Spring Security和Spring Framework都是美国Pivotal Software公司的产品。前者是一套为基于Spring的应用程序提供说明性安全保护的安全框架,后者是一套开源的Java、Java EE应用程序框架。
Pivotal Spring Security和Spring Framework中存在安全漏洞。攻击者可利用该漏洞绕过安全限制,执行未授权操作。以下版本受到影响:Pivotal Spring Security 3.2.x版本,4.0.x版本,4.1.x版本,4.2.x版本;Spring Security 3.2.x版本,4.0.x版本,4.1.0版本。
Apache Tomcat Default Servlet 安全漏洞
对异常条件的处理不恰当
Apache Tomcat是美国阿帕奇(Apache)软件基金会下属的Jakarta项目的一款轻量级Web应用服务器,它主要用于开发和调试JSP程序,适用于中小型系统。Default Servlet是其中的一个对静态资源进行处理的类。
Apache Tomcat中的Default Servlet存在安全漏洞。攻击者可利用该漏洞绕过安全限制,执行未授权的操作。以下版本受到影响:Apache Tomcat 9.0.0.M1版本至9.0.0.M20版本,8.5.0版本至8.5.14版本,8.0.0.RC1版本至8.0.43版本,7.0.0版本至7.0.77版本。
FasterXML jackson-databind 代码问题漏洞
反序列化
FasterXML jackson-databind是一个基于JAVA可以将XML和JSON等数据格式与JAVA对象进行转换的库。Jackson可以轻松的将Java对象转换成json对象和xml文档,同样也可以将json、xml转换成Java对象。
FasterXML jackson-databind 2.0.0版本至2.9.10版本中存在代码问题漏洞。该漏洞源于网络系统或产品的代码开发过程中存在设计或实现不当的问题。攻击者可利用该漏洞执行任意代码。
FasterXML jackson-databind 内容泄漏漏洞(受mybatis影响)
反序列化
FasterXML Jackson是美国FasterXML公司的一款适用于Java的数据处理工具。jackson-databind是其中的一个具有数据绑定功能的组件。
FasterXML jackson-databind 2.7.9.4之前版本、2.8.11.2之前版本和2.9.6之前版本中存在安全漏洞。攻击者可利用该漏洞绕过对数据的访问限制,获取敏感信息。
FasterXML jackson-databind 信息泄露漏洞
反序列化
FasterXML Jackson是美国FasterXML公司的一款适用于Java的数据处理工具。jackson-databind是其中的一个具有数据绑定功能的组件。
FasterXML jackson-databind 2.9.9.2之前的2.x版本中存在安全漏洞。目前尚无此漏洞的相关信息,请随时关注CNNVD或厂商公告。
FasterXML jackson-databind 代码问题漏洞
反序列化
2.9.10.8 之前的 FasterXML jackson-databind 2.x 错误处理了与 org.apache.commons.dbcp2.datasources.PerUserPoolDataSource 相关的序列化小工具和类型之间的交互。
com.fasterxml.jackson.core:jackson-databind 存在反序列化漏洞
反序列化
com.fasterxml.jackson.core:jackson-databind 是一个库,其中包含Jackson Data Processor的通用数据绑定功能和树模型。此软件包的受影响版本容易受到不受信任数据的反序列化。
org.springframework:spring-core 存在拒绝服务漏洞
拒绝服务
org.springframework:spring-core 为现代基于 Java 的企业应用程序提供了一个全面的编程和配置模型——在任何类型的部署平台上。
受影响的软件包版本容易通过 PatternMatchUtils 方法受到拒绝服务 (DoS) 的攻击,该方法具有无限循环错误。
FasterXML jackson-databind 代码问题漏洞
反序列化
FasterXML jackson-databind是一个基于JAVA可以将XML和JSON等数据格式与JAVA对象进行转换的库。Jackson可以轻松的将Java对象转换成json对象和xml文档,同样也可以将json、xml转换成Java对象。
FasterXML jackson-databind 2.0系列2.9.10.6之前版本存在代码问题漏洞,该漏洞源于com.pastdev.httpcomponents.configuration.JndiConfiguration。
Spring Framework 权限许可和访问控制漏洞
权限、特权和访问控制
Pivotal Software Pivotal Spring Framework是美国Pivotal Software公司的一套开源的Java、JavaEE应用程序框架。该框架可帮助开发人员构建高质量的应用。
Spring Framework 3.2.4之前版本,及4.0.0.M1至4.0.0.M2版本中的Spring MVC中存在安全漏洞,该漏洞源于程序没有对StAX XMLInputFactory禁用外部实体解析。攻击者可借助带有JAXB的特制XML文件利用该漏洞读取任意文件,造成拒绝服务,并实施跨站请求伪造攻击。
FasterXML jackson-databind XXE漏洞
FasterXML Jackson是美国FasterXML公司的一款用于Java的数据处理工具。Jackson-databind是其中的一个具有数据绑定功能的组件。
FasterXML Jackson-databind 2.9.7之前的2.x版本中存在XXE漏洞,远程攻击者可利用该漏洞执行XML外部实体注入攻击。
FasterXML Jackson jackson-databind代码问题漏洞
反序列化
FasterXML Jackson是美国FasterXML公司的一款适用于Java的数据处理工具。jackson-databind是其中的一个具有数据绑定功能的组件。
FasterXML jackson-databind 2.9.10.2之前的2.x版本中存在代码问题漏洞。该漏洞源于网络系统或产品的代码开发过程中存在设计或实现不当的问题。目前没有详细漏洞细节提供。
FasterXML jackson-databind 代码问题漏洞
反序列化
FasterXML jackson-databind是一个基于JAVA可以将XML和JSON等数据格式与JAVA对象进行转换的库。Jackson可以轻松的将Java对象转换成json对象和xml文档,同样也可以将json、xml转换成Java对象。
FasterXML jackson-databind 2.9.10.4之前的2.x版本中存在代码问题漏洞。攻击者可借助特制的输入利用该漏洞在系统上执行任意代码。
Vmware Spring Framework 注入漏洞
输入验证不恰当
Vmware Spring Framework是美国威睿(Vmware)公司的一套开源的Java、JavaEE应用程序框架。该框架可帮助开发人员构建高质量的应用。
Spring Framework 存在注入漏洞,该漏洞源于通过日志注入绕过 Spring Framework 的访问限制,以更改数据。
评论