FasterXML jackson-databind代码问题漏洞
反序列化
FasterXML Jackson是美国FasterXML公司的一款适用于Java的数据处理工具。jackson-databind是其中的一个具有数据绑定功能的组件。
FasterXML jackson-databind 2.9.10.5之前的2.x版本中存在安全漏洞。目前没有详细漏洞细节提供。
SnakeYAML是一款基于Java的YAML解析器。
SnakeYAML 1.18版本中的Alias功能存在安全漏洞。攻击者可利用该漏洞造成拒绝服务。
FasterXML jackson-databind反序列化漏洞
反序列化
Fasterxml Jackson是美国 Fasterxml 公司的一款适用于 Java 的数据处理工具。jackson-databind 是其中的一个具有数据绑定功能的组件。
FasterXML jackson-databind存在安全漏洞。该漏洞源于进行了不安全的反序列化。远程攻击者可通过精心构造的恶意载荷通过利用该漏洞在系统上执行任意代码。
FasterXML jackson-databind代码问题漏洞
反序列化
FasterXML Jackson是美国FasterXML公司的一款适用于Java的数据处理工具。jackson-databind是其中的一个具有数据绑定功能的组件。
FasterXML jackson-databind 2.9.10.4之前的2.x 版本中存在安全漏洞。目前没有详细的漏洞细节提供。
Netty Bzip2Decoder资源穷尽漏洞
拒绝服务
Netty 是一个异步事件驱动的网络应用程序框架。
Netty的Bzip2 decompression decoder功能不允许对解压输出数据设置大小限制造成安全漏洞。攻击者可利用该漏洞引发DoS攻击
org.apache.shiro:shiro-web 存在路径遍历漏洞
路径遍历
org.apache.shiro:shiro-web 是一个功能强大且易于使用的 Java 安全框架,它执行身份验证、授权、加密和会话管理。此软件包的受影响版本容易受到目录遍历的影响。 requestURI : /resource/menus 和 resource/menus/ 都可以访问服务器资源,但是 pathPattern 匹配 /resource/menus 不能匹配 resource/menus/。用户可以使用 requestURI + "/" 简单地绕过链过滤器,从而绕过 shiro 保护并获得对服务器资源的访问。
FasterXML jackson-databind 代码问题漏洞
反序列化
2.9.10.8 之前的 FasterXML jackson-databind 2.x 错误处理了与 org.apache.tomcat.dbcp.dbcp2.datasources.SharedPoolDataSource 相关的序列化小工具和类型之间的交互。
Apache Tomcat 资源管理错误漏洞
加锁机制不恰当
Apache Tomcat是美国阿帕奇(Apache)基金会的一款轻量级Web应用服务器。
在漏洞版本中因为没有WINDOW_UPDATE为连接窗口发送消息,客户端能够导致服务器端线程阻塞。攻击者可利用该漏洞造成拒绝服务(线程耗尽)。
FasterXML jackson-databind 代码问题漏洞
反序列化
2.9.10.8 之前的 FasterXML jackson-databind 2.x 错误处理了与 org.apache.commons.dbcp2.cpdsadapter.DriverAdapterCPDS 相关的序列化小工具和类型之间的交互。
Spring Framework权限许可和访问控制问题漏洞
特权管理不恰当
在 Spring Framework 中,5.2.x 5.2.15 之前的版本和 5.3.7 之前的 5.3.7 版本中,WebFlux 应用程序容易受到权限提升的影响:通过(重新)创建临时存储目录,本地经过身份验证的恶意用户可以读取或修改已上传到 WebFlux 应用程序的文件,或用多部分请求数据覆盖任意文件。
Netty ZlibDecoders资源管理错误漏洞
不加限制或调节的资源分配
Netty是Netty社区的一款非阻塞I/O客户端-服务器框架,它主要用于开发Java网络应用程序,如协议服务器和客户端等。
Netty 4.1.46之前的4.1.x版本中的ZlibDecoders存在资源管理错误漏洞,该漏洞源于程序在解码ZlibEncoded字节流时没有限制内存分配。攻击者可通过发送大量ZlibEncoded字节流到Netty服务器利用该漏洞占用资源,导致拒绝服务。
Apache Tomcat 安全漏洞
输入验证不恰当
Apache Tomcat是美国阿帕奇(Apache)基金会的一款轻量级Web应用服务器。该程序实现了对Servlet和JavaServer Page(JSP)的支持。
Apache Tomcat 存在安全漏洞,该漏洞源于程序处理某些 TLS 数据包时存在无限循环,远程攻击者可以向应用程序发送特制的数据包,消耗所有可用的系统资源并导致拒绝服务条件。
Bouncy Castle BKS-V1 加密问题漏洞
完整性检查值验证不恰当
Bouncy Castle BC是Bouncy Castle组织的一个用于C#和Java应用程序的加密库。
Bouncy Castle BKS-V1中存在加密问题漏洞,该漏洞源于Bouncy Castle BKS-V1文件所使用HMAC的长度仅为16位。攻击者可利用该漏洞绕过BKS完整性检测。
Apache Commons Beanutils 不可信数据的反序列化
反序列化
在 Apache Commons Beanutils 1.9.2 中,添加了一个特殊的 BeanIntrospector 类,它允许抑制攻击者通过所有 Java 对象上可用的类属性访问类加载器的能力。然而,我们并没有使用 PropertyUtilsBean 的默认特性。
FasterXML jackson-databind代码问题漏洞
反序列化
FasterXML Jackson是美国FasterXML公司的一款适用于Java的数据处理工具。jackson-databind是其中的一个具有数据绑定功能的组件。
FasterXML jackson-databind 2.9.10.4之前的2.x 版本中存在安全漏洞。目前没有详细的漏洞细节提供。
FasterXML jackson-databind 代码问题漏洞
反序列化
2.9.10.8 之前的 FasterXML jackson-databind 2.x 错误处理了与 org.apache.tomcat.dbcp.dbcp.datasources.PerUserPoolDataSource 相关的序列化小工具和类型之间的交互。
FasterXML jackson-databind 代码问题漏洞
反序列化
2.9.10.8 之前的 FasterXML jackson-databind 2.x 错误处理了与 org.apache.tomcat.dbcp.dbcp.datasources.SharedPoolDataSource 相关的序列化小工具和类型之间的交互。
FasterXML jackson-databind 代码问题漏洞
反序列化
2.9.10.8 之前的 FasterXML jackson-databind 2.x 错误处理了与 com.newrelic.agent.deps.ch.qos.logback.core.db.DriverManagerConnectionSource 相关的序列化小工具和类型之间的交互。
FasterXML jackson-databind 代码问题漏洞
反序列化
FasterXML Jackson是美国FasterXML公司的一款适用于Java的数据处理工具。jackson-databind是其中的一个具有数据绑定功能的组件。
FasterXML jackson-databind 2.0.0版本至2.9.10版本中存在代码问题漏洞。该漏洞源于网络系统或产品的代码开发过程中存在设计或实现不当的问题。攻击者可利用该漏洞执行恶意的payload。
Apache Shiro是美国阿帕奇(Apache)软件基金会的一套用于执行认证、授权、加密和会话管理的Java安全框架。
Apache Shiro 1.4.2之前版本中存在输入验证错误漏洞,当Apache Shiro使用了默认的‘记住我’配置时,攻击者可利用该漏洞对cookies实施填充攻击。
评论