org.apache.httpcomponents:httpclient 存在相对路径遍历漏洞
相对路径遍历
org.apache.httpcomponents:httpclient 是 Apache HttpComponents 项目的一个 HttpClient 组件。此软件包的受影响版本容易受到目录遍历的影响。
FasterXML Jackson-databind远程代码执行漏洞
不完整的黑名单
FasterXML Jackson是美国FasterXML公司的一款用于Java的数据处理工具。Jackson-databind是其中的一个具有数据绑定功能的组件。
FasterXML Jackson-databind中存在远程代码执行漏洞。攻击者可利用该漏洞在受影响的应用程序上下文中执行任意代码或造成拒绝服务。
FasterXML Jackson-databind代码问题漏洞
反序列化
FasterXML Jackson是美国FasterXML公司的一款用于Java的数据处理工具。Jackson-databind是其中的一个具有数据绑定功能的组件。
FasterXML Jackson-databind 2.9.8之前的2.x版本中存在安全漏洞。攻击者可利用该漏洞执行代码。
FasterXML jackson-databind 代码问题漏洞
反序列化
FasterXML jackson-databind是一个基于JAVA可以将XML和JSON等数据格式与JAVA对象进行转换的库。Jackson可以轻松的将Java对象转换成json对象和xml文档,同样也可以将json、xml转换成Java对象。
FasterXML jackson-databind 2.9.10之前版本中存在代码问题漏洞。该漏洞源于网络系统或产品的代码开发过程中存在设计或实现不当的问题。
Fastjson <= 1.2.60 版本远程代码执行漏洞
使用外部可控制的输入来选择类或代码(不安全的反射)
Fastjson 是Java语言实现的快速JSON解析和生成器,在<=1.2.60的版本中攻击者可通过精心构造的JSON请求,在autoType显式开启的情况下,绕过黑名单机制,远程执行任意代码。
漏洞原因:
攻击者发现了两个类JNDIConfiguration和OracleManagedConnectionFactory不在黑名单中,可调用连接远程rmi主机,通过其中的恶意类执行代码。
FasterXML jackson-databind 代码问题漏洞
反序列化
FasterXML jackson-databind是一个基于JAVA可以将XML和JSON等数据格式与JAVA对象进行转换的库。Jackson可以轻松的将Java对象转换成json对象和xml文档,同样也可以将json、xml转换成Java对象。
FasterXML jackson-databind 2.x before 2.9.10.8 存在代码问题漏洞,该漏洞源于oadd.org.apache.commons.dbcp.cpdsadapter.DriverAdapterCPDS错误地处理serialization gadgets 和 typing的交互。
QOS.ch Logback SocketServer和ServerSocketReceiver组件代码问题漏洞
反序列化
QOS.ch Logback是一套使用Java编写的日志框架。SocketServer和ServerSocketReceiver都是其中的调试模块。
QOS.ch Logback 1.1.10及之前的版本中的SocketServer和ServerSocketReceiver组件存在安全漏洞。攻击者可利用该漏洞获取提升的权限。
FasterXML jackson-databind 代码问题漏洞
FasterXML jackson-databind是一个基于JAVA可以将XML和JSON等数据格式与JAVA对象进行转换的库。Jackson可以轻松的将Java对象转换成json对象和xml文档,同样也可以将json、xml转换成Java对象。
FasterXML Jackson-databind 2.8.11.1之前版本和2.9.5之前的2.9.x版本中存在代码问题漏洞。远程攻击者可通过向ObjectMapper的readValue方法发送恶意制作的JSON输入利用该漏洞执行代码。
Apache Tomcat是Apache软件基金会下的一款轻量级Web应用服务器。
处理精确映射到上下文根的“”(空字符串)的URL这个模式被忽略时,攻击者可利用该漏洞访问受保护的Web应用程序资源,从而形成敏感信息泄露。
Spring Data Commons 安全漏洞
不加限制或调节的资源分配
Spring Data Commons,版本 1.13 到 1.13.10、2.0 到 2.0.5 以及更旧的不受支持的版本,包含由无限资源分配导致的属性路径解析器漏洞。未经身份验证的远程恶意用户(或攻击者)可以向 Spring Data REST 端点或使用属性路径解析的端点发出请求,这可能导致拒绝服务(CPU 和内存消耗)。
FasterXML jackson-databind 代码问题漏洞
反序列化
FasterXML Jackson是美国FasterXML公司的一款适用于Java的数据处理工具。jackson-databind是其中的一个具有数据绑定功能的组件。
FasterXML jackson-databind 2.0.0版本至2.9.10.2版本中存在代码问题漏洞,该漏洞源于程序缺少xbean-reflect/JNDI黑名单类。攻击者可利用该漏洞执行代码。
FasterXML jackson-databind 代码问题漏洞
反序列化
2.9.10.8 之前的 FasterXML jackson-databind 2.x 错误处理了与 org.apache.tomcat.dbcp.dbcp.datasources.PerUserPoolDataSource 相关的序列化小工具和类型之间的交互。
FasterXML jackson-databind 代码问题漏洞
反序列化
FasterXML jackson-databind是一个基于JAVA可以将XML和JSON等数据格式与JAVA对象进行转换的库。Jackson可以轻松的将Java对象转换成json对象和xml文档,同样也可以将json、xml转换成Java对象。
FasterXML jackson-databind 2.9.10.4之前的2.x版本中存在代码问题漏洞。攻击者可借助特制的输入利用该漏洞在系统上执行任意代码。
FasterXML jackson-databind 代码问题漏洞
反序列化
2.9.10.8 之前的 FasterXML jackson-databind 2.x 错误处理了与 org.apache.tomcat.dbcp.dbcp.cpdsadapter.DriverAdapterCPDS 相关的序列化小工具和类型之间的交互。
H2Console是一个用 Java 编写的可嵌入 RDBMS。
H2Console 2.1.210之前版本存在安全漏洞,攻击者可利用该漏洞通过精心构建的命令在系统上执行任意代码。
Apache Tomcat 信息泄露漏洞
通过差异性导致的信息暴露
Apache Tomcat是美国阿帕奇(Apache)软件基金会下属的Jakarta项目的一款轻量级Web应用服务器,它主要用于开发和调试JSP程序,适用于中小型系统。
Apache Tomcat中存在信息泄露漏洞。攻击者可利用该漏洞获取有效的用户名。以下版本受到影响:Apache Tomcat 9.0.0.M1至9.0.0.M9版本,8.5.0至8.5.4版本,8.0.0.RC1至8.0.36版本,7.0.0至7.0.70版本,6.0.0至6.0.45版本。
FasterXML jackson-databind 代码问题漏洞
反序列化
FasterXML jackson-databind是一个基于JAVA可以将XML和JSON等数据格式与JAVA对象进行转换的库。Jackson可以轻松的将Java对象转换成json对象和xml文档,同样也可以将json、xml转换成Java对象。
FasterXML jackson-databind 2.0.0版本至2.9.10版本中存在代码问题漏洞。该漏洞源于网络系统或产品的代码开发过程中存在设计或实现不当的问题。攻击者可通过发送特制请求利用该漏洞在系统上执行任意代码。
FasterXML jackson-databind 信息泄露漏洞
反序列化
FasterXML Jackson是美国FasterXML公司的一款适用于Java的数据处理工具。jackson-databind是其中的一个具有数据绑定功能的组件。
FasterXML jackson-databind 2.9.9.2之前的2.x版本中存在安全漏洞。目前尚无此漏洞的相关信息,请随时关注CNNVD或厂商公告。
FasterXML jackson-databind反序列化漏洞(AnterosDBCPConfig gadget绕过)
反序列化
FasterXML Jackson是美国FasterXML公司的一款适用于Java的数据处理工具。jackson-databind是其中的一个具有数据绑定功能的组件。
FasterXML jackson-databind 2.9.10.4之前的2.x版本中存在安全漏洞。攻击者可借助特制的请求利用该漏洞执行任意代码。
FasterXML jackson-databind代码问题漏洞
反序列化
FasterXML Jackson是美国FasterXML公司的一款适用于Java的数据处理工具。jackson-databind是其中的一个具有数据绑定功能的组件。
FasterXML jackson-databind 2.9.10.4之前的2.x 版本中存在安全漏洞。目前没有详细的漏洞细节提供。
评论