Apache Tomcat 环境问题漏洞
HTTP请求的解释不一致性(HTTP请求私运)
Apache Tomcat是美国阿帕奇(Apache)基金会的一款轻量级Web应用服务器。该程序实现了对Servlet和JavaServer Page(JSP)的支持。
Apache Tomcat存在环境问题漏洞,该漏洞源于Apache Tomcat 在某些情况下没有正确解析 HTTP 传输编码请求标头,导致在与反向代理一起使用时可能会请求走私。
Pivotal Spring Framework 安全漏洞
从非可信控制范围包含功能例程
Pivotal Spring Framework是美国Pivotal Software公司的一套开源的Java、Java EE应用程序框架。该框架可帮助开发人员构建高质量的应用。
Pivotal Spring Framework 5.0.7之前的5.0.x版本、4.3.18之前的4.3.x版本和不再支持的更早版本中存在安全漏洞,该漏洞源于程序允许Web应用程序通过JSONP打开跨域的请求。攻击者可利用该漏洞将用户信息泄露到第三方浏览器脚本。
Yargs Y18n 输入验证错误漏洞
动态确定对象属性修改的控制不恰当
Yargs Y18n是Yargs个人开发者的一个类似I18n的由Js编写的代码库。
y18n before 3.2.2, 4.0.1 and 5.0.5版本存在输入验证错误漏洞,该漏洞源于网络系统或产品未对输入的数据进行正确的验证。
FasterXML jackson-databind反序列化漏洞(AnterosDBCPConfig gadget绕过)
反序列化
FasterXML Jackson是美国FasterXML公司的一款适用于Java的数据处理工具。jackson-databind是其中的一个具有数据绑定功能的组件。
FasterXML jackson-databind 2.9.10.4之前的2.x版本中存在安全漏洞。攻击者可借助特制的请求利用该漏洞执行任意代码。
FasterXML jackson-databind 代码问题漏洞
反序列化
FasterXML jackson-databind是一个基于JAVA可以将XML和JSON等数据格式与JAVA对象进行转换的库。Jackson可以轻松的将Java对象转换成json对象和xml文档,同样也可以将json、xml转换成Java对象。
FasterXML jackson-databind 2.9.10.4之前的2.x版本中存在代码问题漏洞。攻击者可借助特制的输入利用该漏洞在系统上执行任意代码。
Pivotal Spring Framework 权限许可和访问控制问题漏洞
Pivotal Software Spring Framework是美国Pivotal Software公司的一套开源的Java、JavaEE应用程序框架。该框架可帮助开发人员构建高质量的应用。
Pivotal Software Spring Framework 5.0.5之前的5.0 版本、4.3.15之前的4.3 版本和不再支持的老版本中存在权限许可和访问控制问题漏洞。远程攻击者可通过发送特制的请求利用该漏洞获取提升的权限。
FasterXML jackson-databind 代码问题漏洞
反序列化
FasterXML jackson-databind是一个基于JAVA可以将XML和JSON等数据格式与JAVA对象进行转换的库。Jackson可以轻松的将Java对象转换成json对象和xml文档,同样也可以将json、xml转换成Java对象。
FasterXML jackson-databind 2.0.0版本至2.9.10版本中存在代码问题漏洞。该漏洞源于网络系统或产品的代码开发过程中存在设计或实现不当的问题。攻击者可通过发送特制请求利用该漏洞在系统上执行任意代码。
Oracle MySQL Connectors 输入验证错误漏洞
使用不兼容类型访问资源(类型混淆)
Oracle MySQL是美国甲骨文(Oracle)公司的一套开源的关系数据库管理系统。MySQL Connectors是其中的一个连接使用MySQL的应用程序的驱动程序。
Oracle MySQL中的MySQL Connectors组件8.0.15及之前版本的Connector/J子组件存在安全漏洞。攻击者可利用该漏洞控制组件,影响数据的保密性、完整性和可用性。
Digital Bazaar Forge 输入验证错误漏洞
跨站重定向
Digital Bazaar Forge是美国Digital Bazaar公司的一个 Tls 在 Javascript 中的本机实现以及用于编写基于加密和网络密集型 Web 应用程序的开源工具。
Digital Bazaar Forge 中存在输入验证错误漏洞,该漏洞源于产品允许URL重定向到不受信任的站点。
node-forge 是网络传输、密码学、密码、PKI、消息摘要和各种实用程序的 JavaScript 实现。此软件包的受影响版本容易受到通过伪造的原型污染。
H2Console是一个用 Java 编写的可嵌入 RDBMS。
H2Console 2.1.210之前版本存在安全漏洞,攻击者可利用该漏洞通过精心构建的命令在系统上执行任意代码。
node-sass 是 libsass 的 Node.js 绑定包。此软件包的受影响版本容易受到拒绝服务 (DoS) 的攻击。
FasterXML jackson-databind XXE漏洞
FasterXML Jackson是美国FasterXML公司的一款用于Java的数据处理工具。Jackson-databind是其中的一个具有数据绑定功能的组件。
FasterXML Jackson-databind 2.9.7之前的2.x版本中存在XXE漏洞,远程攻击者可利用该漏洞执行XML外部实体注入攻击。
FasterXML jackson-databind 代码问题漏洞
反序列化
FasterXML jackson-databind是一个基于JAVA可以将XML和JSON等数据格式与JAVA对象进行转换的库。Jackson可以轻松的将Java对象转换成json对象和xml文档,同样也可以将json、xml转换成Java对象。
FasterXML jackson-databind 2.9.10.4之前的2.x版本中存在代码问题漏洞。攻击者可借助特制的输入利用该漏洞在系统上执行任意代码。
Github json-smart-v1 缓冲区错误漏洞
跨界内存写
netplex json-smart是开源的一个JSON Java解析器。
在 JSON Smart 版本 1.3 和 2.4 中的 JSONParserByteArray 的 indexOf 函数中发现了一个漏洞,该漏洞通过精心设计的 Web 请求导致拒绝服务 (DOS)。
handlebars 是 Mustache 模板语言的扩展。此软件包的受影响版本容易受到原型污染。
Bootstrap是一款使用HTML、CSS和JavaScript开发的开源Web前端框架。
Bootstrap 中存在跨站脚本漏洞。该漏洞源于WEB应用缺少对客户端数据的正确验证。攻击者可利用该漏洞执行客户端代码。以下产品及版本受到影响:
FasterXML jackson-databind 代码问题漏洞
反序列化
2.9.10.8 之前的 FasterXML jackson-databind 2.x 错误处理了与 org.apache.commons.dbcp2.datasources.SharedPoolDataSource 相关的序列化小工具和类型之间的交互。
Apache Tomcat是美国阿帕奇(Apache)基金会的一款轻量级Web应用服务器。
Apache Tomcat存在信息泄露漏洞,该漏洞源于可以在响应新的 h2c 连接请求时复制请求头和数量有限的请求体,这意味着用户a和用户B都可以看到用户a的请求结果。
com.fasterxml.jackson.core:jackson-databind 存在反序列化漏洞
反序列化
com.fasterxml.jackson.core:jackson-databind 是一个库,其中包含Jackson Data Processor的通用数据绑定功能和树模型。此软件包的受影响版本容易受到不受信任数据的反序列化。
评论