Google protobuf 缓冲区错误漏洞
跨界内存写
Google protobuf是美国谷歌(Google)公司的一种数据交换格式。
Google protobuf中存在缓冲区错误漏洞。远程攻击者可利用该漏洞执行代码。
Vmware Spring Framework存在未明漏洞
输入验证不恰当
Vmware Spring Framework是美国威睿(Vmware)公司的一套开源的Java、JavaEE应用程序框架。该框架可帮助开发人员构建高质量的应用。Vmware Spring Framework存在安全漏洞,攻击者可利用该漏洞通过日志注入绕过Spring框架的访问限制从而修改数据。
Apache Commons IO 路径遍历漏洞
路径遍历
在 2.7 之前的 Apache Commons IO 中,当使用不正确的输入字符串(如“//../foo”或“\\..\foo”)调用方法 FileNameUtils.normalize 时,结果将是相同的值,因此可能如果调用代码将使用结果来构造路径值,则提供对父目录中文件的访问,但不能进一步访问(因此“有限”路径遍历)。
Vmware Spring Framework 安全特征问题漏洞
大小写敏感处理不恰当
Vmware Spring Framework是美国威睿(Vmware)公司的一套开源的Java、JavaEE应用程序框架。
Vmware Spring Framework的disallowedFields 模式区分大小写,这意味着除非字段同时列出字段的第一个字符小写,包括属性路径中所有嵌套字段的第一个字符的大写和小写,否则远程攻击者利用该漏洞可以绕过实施的安全限制。
io.netty:netty-handler 存在证书验证不恰当漏洞
证书验证不恰当
io.netty:netty-handler 是一个提供异步事件驱动的网络应用程序框架和工具的库,用于快速开发可维护的高性能和高可扩展性协议服务器和客户端。换句话说,Netty 是一个 NIO 客户端服务器框架,可以快速轻松地开发协议服务器和客户端等网络应用程序。它极大地简化和流线了网络编程,例如 TCP 和 UDP 套接字服务器。此软件包的受影响版本容易受到不正确的证书验证的影响。在 Netty 4.1.x 中默认禁用证书主机名验证,这使得它可能容易受到中间人攻击。
dom4j是一款支持DOM、SAX、JAXP和Java平台的用于处理XML文件的开源框架。
dom4j 2.1.1之前版本中的Class:Element存在安全漏洞,该漏洞源于程序没有验证输入。攻击者可通过指定XML文档中的属性或元素利用该漏洞执行篡改操作。
spring-beans 远程代码执行漏洞(Spring4Shell)
表达式注入
spring-beans 负责实现 Spring 框架的 IOC 模块。
CVE-2010-1622 中曾出现由于参数自动绑定机制导致的问题, 通过黑名单的方式修复了该漏洞,但是 JDK9之后引入了 Module,使得可以通过 getModule 绕过前者的黑名单限制,导致远程代码执行。
org.springframework:spring-beans的5.3.0 至 5.3.17、5.2.0.RELEASE 至
5.2.19.RELEASE 版本都受到影响。
com.fasterxml.jackson.core:jackson-databind 存在拒绝服务漏洞
拒绝服务
com.fasterxml.jackson.core:jackson-databind 是一个库,其中包含Jackson Data Processor的通用数据绑定功能和树模型。当使用 JDK 序列化来序列化和反序列化 JsonNode 值时,此包的受影响版本容易受到拒绝服务 (DoS) 的攻击。
Apache Tomcat 安全漏洞
检查时间与使用时间(TOCTOU)的竞争条件
针对错误 CVE-2020-9484 的修复在 Apache Tomcat 10.1.0-M1 至 10.1.0-M8、10.0.0-M5 至 10.0.14、9.0.35 至 9.0 中引入了检查时间、使用时间漏洞。 56 和 8.5.55 到 8.5.73 允许本地攻击者以 Tomcat 进程正在使用的用户的权限执行操作。仅当 Tomcat 配置为使用 FileStore 持久化会话时,此问题才可利用。
Netty 是一个开源的、异步事件驱动的网络应用框架。版本 4.1.77.Final 之前的包 io.netty:netty-codec-http 包含对 CVE-2021-21290 的不充分修复。当使用 Netty 的多部分解码器时,如果启用了在磁盘上临时存储上传,则可以通过本地系统临时目录发生本地信息泄露。这只会影响在 Java 版本 6 及更低版本上运行的应用程序。此外,此漏洞会影响在类 Unix 系统以及非常旧版本的 Mac OSX 和 Windows 上运行的代码,因为它们都在所有用户之间共享系统临时目录。版本 4.1.77.Final 包含针对此漏洞的补丁。作为一种解决方法,在启动 JVM 时指定自己的 `java.io.tmpdir` 或使用 DefaultHttpDataFactory.setBaseDir(...) 将目录设置为只能由当前用户读取的目录。
MyBatis是美国阿帕奇(Apache)软件基金会的一款优秀的持久层框架。支持自定义 SQL、存储过程以及高级映射,免除了几乎所有的 JDBC 代码以及设置参数和获取结果集的工作, 可以通过简单的 XML 或注解来配置和映射原始类型、接口和 Java POJO(Plain Old Java Objects,普通老式 Java 对象)为数据库中的记录。
MyBatis 3.5.6之前版本存在代码问题漏洞,该漏洞源于网络系统或产品的代码开发过程中存在设计或实现不当的问题。
Google Guava 访问控制错误漏洞
关键资源的不正确权限授予
Google Guava是美国谷歌(Google)公司的一款包括图形库、函数类型、I/O和字符串处理等的Java核心库。
Guava 30.0版本之前存在访问控制错误漏洞,该漏洞源于Guava存在一个临时目录创建漏洞,允许访问机器的攻击者可利用该漏洞潜在地访问由Guava com.google.common.io. Files. createTempDir() 创建的临时目录中的数据。攻击者可以利用该漏洞访问特殊目录。
Google protobuf 安全漏洞
不正确的行为次序
Google protobuf是美国谷歌(Google)公司的一种数据交换格式。
protobuf-java 存在安全漏洞,该漏洞允许一个小的恶意负载可以通过创建大量导致频繁、重复暂停的短期对象来占用解析器几分钟。
io.springfox:springfox-swagger2 存在输入验证不恰当漏洞
输入验证不恰当
springfox是一个开源的API Doc的框架。
此软件包的受影响版本容易受到不当输入验证的影响。 /api-docs?group= URL 查询参数的输入是不受信任的输入,并且在写入日志之前未进行编码。
可能会造成远程攻击者使用换行符来注入日志条目或当用户在浏览器查看日志数据时的 HTML 代码。
评论