ZK 正在参加 2021 年度 OSC 中国开源项目评选,请投票支持!
ZK 在 2021 年度 OSC 中国开源项目评选 中已获得 {{ projectVoteCount }} 票,请投票支持!
2021 年度 OSC 中国开源项目评选 正在火热进行中,快来投票支持你喜欢的开源项目!
2021 年度 OSC 中国开源项目评选 >>> 中场回顾
ZK 获得 2021 年度 OSC 中国开源项目评选「最佳人气项目」 !
授权协议 GPL
操作系统 跨平台
软件类型 开源软件
开源组织
地区 不详
投 递 者 不详
适用人群 未知
收录时间 2008-09-05

软件简介

ZK是一套以 AJAX/XUL/Java 为基础的网页应用程式开发框架,用于丰富网页应用程式的使用接口。最大的好处是,在设计AJAX网络应用程式时,轻松简便的操作就像设计桌面程式一样。 ZK包含了一个以AJAX为基础、事件驱动(event-driven)、高互动性的引擎,同时还提供了多样丰富、可重复使用的XUL与HTML组件,以及以 XML 为基础的使用接口设计语言 ZK User-interfaces Markup Language (ZUML)。

ZK 提供超过70个XUL组件及80个XHMTL组件。举凡listbox, slider, audio, slider, tree, combobox, tabbox, auto-completion等均有支援。ZK 亦提供 FCKeditor, Dojo, Google Maps, 和 SIMILE Timeline的组件,让使用者直接以Java控制,无须使用 JavaScript。

ZK是一套开放源码、相容于 XUL/HTML 标准、Java写成的开发工具。

展开阅读全文

代码

的 Gitee 指数为
超过 的项目

评论

点击加入讨论🔥(2) 发布并加入讨论🔥
发表了资讯
2018/11/09 08:00

ZK 8.6.0 发布,Ajax + Mobile Java Web 框架

ZK 是一个老牌的开源 Ajax + Mobile Java Web 框架,集成了 jQuery、Spring、JPA、Hibernate、JavaEE、Grails、Scala 等等,最早发布于2005年。 ZK 目前的迭代目标是创建更加集成和现代化的功能,在 ZK 8.6.0 中,你将看到改进的多媒体和输入小部件,如视频剪辑器、图像裁剪器、切换开关、签名和滑动按钮等。 切换开关 复选框 评级组件 工具栏可容纳更多按钮 主题 图像裁剪 各项具体细节可查阅发行说明: https://www.zkoss.or...

3
12
发表了资讯
2013/11/27 00:00

ZK 7.0 正式版发布,Web 应用开发框架

ZK 7.0 是一个主要的版本,提供更多的主题和更少的代码;提供 CSS3、Less 和 Bootstrap 的体验主题,以达到最佳的灵活性和最简单。 ZK是一套以 AJAX/XUL/Java 为基础的网页应用程式开发框架,用于丰富网页应用程式的使用接口。最大的好处是,在设计AJAX网络应用程式时,轻松简便的操作就像设计桌面程式一样。 ZK包含了一个以AJAX为基础、事件驱动(event-driven)、高互动性的引擎,同时还提供了多样丰富、可重复使用的XUL与HTM...

15
33
发表了资讯
2013/08/20 00:00

ZK 7.0 预览版发布,全新的主题引擎

ZK 7.0 是一个主要的版本,其主要任务是改进主题系统,带来其最强大的主题引擎,支持 CSS3、Less 和 Bootstrap 来创建最佳的用户体验。 ZK是一套以 AJAX/XUL/Java 为基础的网页应用程式开发框架,用于丰富网页应用程式的使用接口。最大的好处是,在设计AJAX网络应用程式时,轻松简便的操作就像设计桌面程式一样。 ZK包含了一个以AJAX为基础、事件驱动(event-driven)、高互动性的引擎,同时还提供了多样丰富、可重复使用的XUL...

11
18
发表了资讯
2013/03/27 00:00

ZK 6.5.2 发布,支持 Portlet 2.0

ZK 6.5.2 包含 18 个新特性和超过 80 个 bug 的修复,包括改进了的 MVVM、Portlet 2.0 支持,一个更简单的方法来加载自定义主题等等。 ZK是一套以 AJAX/XUL/Java 为基础的网页应用程式开发框架,用于丰富网页应用程式的使用接口。最大的好处是,在设计AJAX网络应用程式时,轻松简便的操作就像设计桌面程式一样。 ZK包含了一个以AJAX为基础、事件驱动(event-driven)、高互动性的引擎,同时还提供了多样丰富、可重复使用的XUL与...

0
8
发表了资讯
2012/12/18 00:00

ZK 6.5.1 发布,Ajax 开发框架

ZK 6.5.1 包含一个 MVVM 的默认命令,HTML 5 API 在页面的可见性等,同时修复了一些小 bug。 ZK是一套以 AJAX/XUL/Java 为基础的网页应用程式开发框架,用于丰富网页应用程式的使用接口。最大的好处是,在设计AJAX网络应用程式时,轻松简便的操作就像设计桌面程式一样。 ZK包含了一个以AJAX为基础、事件驱动(event-driven)、高互动性的引擎,同时还提供了多样丰富、可重复使用的XUL与HTML组件,以 及以 XML 为基础的使用接口设...

12
9
发表了资讯
2012/09/13 00:00

ZK 6.5 发布,Ajax 开发框架

ZK 6.5 版本可以帮助开发人员实现真正利用同一个代码和组件集实现对多设备的支持,包括台式机和平板电脑的用户界面和触摸体验的最简单、最有效的方式。响应式的设计总是适合您的设备的屏幕分辨率和平板电脑特定的用户交互方式,如刷卡和检测设备的方向,这是自动完成的,以节省开发者的时间和精力,提高生产效率。 ZK是一套以 AJAX/XUL/Java 为基础的网页应用程式开发框架,用于丰富网页应用程式的使用接口。最大的好处是,在设...

5
12
发表了资讯
2012/08/16 00:00

ZK 6.0.2 发布,Ajax 开发框架

ZK 6.0.2 发布,该版本增加 OSGi 环境的开发支持,对 ZK Bind 规范进行小幅修改,同时还包括一些 bug 修复。 ZK是一套以 AJAX/XUL/Java 为基础的网页应用程式开发框架,用于丰富网页应用程式的使用接口。最大的好处是,在设计AJAX网络应用程式时,轻松简便的操作就像设计桌面程式一样。 ZK包含了一个以AJAX为基础、事件驱动(event-driven)、高互动性的引擎,同时还提供了多样丰富、可重复使用的XUL与HTML组件,以 及以 XML 为...

4
9
发表了资讯
2012/05/05 00:00

ZK 6.0.1 发布

ZK 6.0.1 发布,该版本增加了一些新组件,包括 biglistbox,fusionchart集成,改进了数据绑定等。 ZK是一套以 AJAX/XUL/Java 为基础的网页应用程式开发框架,用于丰富网页应用程式的使用接口。最大的好处是,在设计AJAX网络应用程式时,轻松简便的操作就像设计桌面程式一样。 ZK包含了一个以AJAX为基础、事件驱动(event-driven)、高互动性的引擎,同时还提供了多样丰富、可重复使用的XUL与HTML组件,以 及以 XML 为基础的使用...

0
4
发表了资讯
2012/02/14 00:00

ZK 6.0 正式版发布

ZK 6.0 正式版发布了,与 5.5 版本比较,该版本大约修改了 10 万行代码,包括新的数据绑定系统 ZK Bind,使用 MVVM 开发模式,支持泛型以及提供一个新的模板系统等等。 ZK是一套以 AJAX/XUL/Java 为基础的网页应用程式开发框架,用于丰富网页应用程式的使用接口。最大的好处是,在设计AJAX网络应用程式时,轻松简便的操作就像设计桌面程式一样。 ZK包含了一个以AJAX为基础、事件驱动(event-driven)、高互动性的引擎,同时还提...

8
3
发表了资讯
2012/01/03 00:00

ZK 5.0.10 发布

ZK 5.0.10 发布了,这是一个维护版本,修复了超过 60 个 bug。 ZK是一套以 AJAX/XUL/Java 为基础的网页应用程式开发框架,用于丰富网页应用程式的使用接口。最大的好处是,在设计AJAX网络应用程式时,轻松简便的操作就像设计桌面程式一样。 ZK包含了一个以AJAX为基础、事件驱动(event-driven)、高互动性的引擎,同时还提供了多样丰富、可重复使用的XUL与HTML组件,以 及以 XML 为基础的使用接口设计语言 ZK User-interfaces M...

1
2
发表了资讯
2011/11/15 00:00

ZK 6.0 RC 发布,Web 应用开发框架

ZK 6.0 发布候选发行版本,该版本改动涉及超过 10w 行代码,增强对泛型支持以及下一代的数据绑定系统,使用 jQuery 和 CSS 风格的选择器等等。 ZK是一套以 AJAX/XUL/Java 为基础的网页应用程式开发框架,用于丰富网页应用程式的使用接口。最大的好处是,在设计AJAX网络应用程式时,轻松简便的操作就像设计桌面程式一样。 ZK包含了一个以AJAX为基础、事件驱动(event-driven)、高互动性的引擎,同时还提供了多样丰富、可重复使用...

0
2
发表了资讯
2011/10/20 00:00

ZK 5.0.9 发布

这是一个维护版本,修复了一些bug,提升对 WebSphere 5.1 、Google App Engine 和 IE9 的支持。 ZK是一套以 AJAX/XUL/Java 为基础的网页应用程式开发框架,用于丰富网页应用程式的使用接口。最大的好处是,在设计AJAX网络应用程式时,轻松简便的操作就像设计桌面程式一样。 ZK包含了一个以AJAX为基础、事件驱动(event-driven)、高互动性的引擎,同时还提供了多样丰富、可重复使用的XUL与HTML组件,以 及以 XML 为基础的使用接...

0
1
发表了资讯
2011/10/13 00:00

ZK 6 开发者预览版发布

日前,ZK 发布了 6.0 的开发者预览吧,该版本改进了对泛型的支持、全新的数据绑定,引入新的模板概念,详情请看官方发行说明。 下载地址: http://sourceforge.net/projects/zk1/files/ZK%20Freshly/zk-6.0.0/ ZK是一套以 AJAX/XUL/Java 为基础的网页应用程式开发框架,用于丰富网页应用程式的使用接口。最大的好处是,在设计AJAX网络应用程式时,轻松简便的操作就像设计桌面程式一样。 ZK包含了一个以AJAX为基础、事件驱动(e...

0
1
发表了资讯
2011/09/01 00:00

zk 5.0.8 发布

该版本主要是bug修复,还有一些新特性,包括升级以支持 JasperReports 4,引入新的数据绑定处理,改进了 locale 处理。 ZK是一套以 AJAX/XUL/Java 为基础的网页应用程式开发框架,用于丰富网页应用程式的使用接口。最大的好处是,在设计AJAX网络应用程式时,轻松简便的操作就像设计桌面程式一样。 ZK包含了一个以AJAX为基础、事件驱动(event-driven)、高互动性的引擎,同时还提供了多样丰富、可重复使用的XUL与HTML组件,以 ...

4
2
发表了资讯
2011/05/11 00:00

zk 5.0.7 发布,支持IE9和Firefox 4

这是一个维护版本,主要是bug修复,支持 IE9 和 Firefox 4。 ZK是一套以 AJAX/XUL/Java 为基础的网页应用程式开发框架,用于丰富网页应用程式的使用接口。最大的好处是,在设计AJAX网络应用程式时,轻松简便的操作就像设计桌面程式一样。 ZK包含了一个以AJAX为基础、事件驱动(event-driven)、高互动性的引擎,同时还提供了多样丰富、可重复使用的XUL与HTML组件,以 及以 XML 为基础的使用接口设计语言 ZK User-interfaces Mar...

0
2
发表了资讯
2011/02/24 00:00

zk 5.0.6 发布

zk5.0.6是一个维护版,该版本主要新特性有 SEO优化、增强布局组建、优化tree 、 自定义widget的显示、自定义应用名称、添加doublespinner组件等等 详细见http://books.zkoss.org/wiki/Small_Talks/2011/February/New_Features_of_ZK_5.0.6#Simplified_Tree_Model 更新日志:http://www.zkoss.org/release/rn-5.0.6.dsp 下载 :http://www.zkoss.org/download/zk.dsp 预览体验:http://www.zkoss.org/zkdemo/grid/ ZK: 它是什么 ...

0
1
发表了资讯
2010/11/02 00:00

ZK 5.0.5发布

zk5.0.5是一个维护版本,主要修复bugs,引入几个新特性,增强几个组件的功能 更新日志别表 http://www.zkoss.org/release/rn-5.0.5.dsp 5.0.5的新特性 http://books.zkoss.org/wiki/Small_Talks/2010/October/New_Features_of_ZK_5.0.5 ZK: 它是什么 ZK是一个事件驱动(event-driven)的,基于组件(component-based)的,用以丰富网络程序中用户界面的框架。ZK包括一个基于AJAX事件驱动的引擎(engine),一套丰富的XUL和XHTML,以及一...

0
1
发表了资讯
2010/08/31 00:00

ZK 5.0.4 发布,Ajax开发框架

ZK是一套以 AJAX/XUL/Java 为基础的网页应用程式开发框架,用于丰富网页应用程式的使用接口。最大的好处是,在设计AJAX网络应用程式时,轻松简便的操作就像设计桌面程式一样。 ZK包含了一个以AJAX为基础、事件驱动(event-driven)、高互动性的引擎,同时还提供了多样丰富、可重复使用的XUL与HTML组件,以 及以 XML 为基础的使用接口设计语言 ZK User-interfaces Markup Language (ZUML)。 该版本在内存使用上进行了改进,显著的...

0
2
发表了资讯
2010/06/29 00:00

ZK 5.0.3 发布,Ajax开发框架

ZK包含了一个以AJAX为基础、事件驱动(event-driven)、高互动性的引擎,同时还提供了多样丰富、可重复使用的XUL与HTML组 件,以及以 XML 为基础的使用接口设计语言 ZK User-interfaces Markup Language (ZUML)。 该版本新增了15项新的特性,包括可指定客户端的渲染器,修正了84个bug,tabbox可自动增长等等。 详情请看发行说明:http://www.zkoss.org/release/rn-5.0.3.dsp...

0
0
发表了资讯
2010/05/12 00:00

ZK 5.0.2 发布

ZK是一套以 AJAX/XUL/Java 为基础的网页应用程式开发框架,用于丰富网页应用程式的使用接口。最大的好处是,在设计AJAX网络应用程式时,轻松简便的操作就像设计桌面程式一样。 ZK包含了一个以AJAX为基础、事件驱动(event-driven)、高互动性 的引擎,同时还提供了多样丰富、可重复使用的XUL与HTML组件,以及以 XML 为基础的使用接口设计语言 ZK User-interfaces Markup Language (ZUML)。 该版本新增根据组件的高度自动检测页面...

2
1
没有更多内容
加载失败,请刷新页面
点击加载更多
加载中
下一页
发表了博客
{{o.pubDate | formatDate}}

{{formatAllHtml(o.title)}}

{{parseInt(o.replyCount) | bigNumberTransform}}
{{parseInt(o.viewCount) | bigNumberTransform}}
没有更多内容
暂无内容
发表了问答
{{o.pubDate | formatDate}}

{{formatAllHtml(o.title)}}

{{parseInt(o.replyCount) | bigNumberTransform}}
{{parseInt(o.viewCount) | bigNumberTransform}}
没有更多内容
暂无内容
Spring Framework 正则表达式拒绝服务漏洞
资源管理错误
Spring Framework 是一套开源的 Java、JavaEE 应用程序框架。 Spring Framework 受影响版本中 java.util.regex.Pattern.compile 存在正则表达式拒绝服务漏洞。 攻击者可以构造恶意请求造成拒绝服务攻击(CPU损耗)。此漏洞与CVE-2004-2540相关。
CVE-2009-1190 MPS-2009-2202
2023-12-20 19:52
Spring Framework表达式语言JSP属性处理信息泄露漏洞
配置缺陷
Pivotal Software Pivotal Spring Framework是美国Pivotal Software公司的一套开源的Java、JavaEE应用程序框架。该框架可帮助开发人员构建高质量的应用。 VMware SpringSource Spring Framework 2.5.6.SEC03之前的版本、2.5.7.SR023、3.0.6之前的3.x版本中存在漏洞。该漏洞源于在容器支持表达式语言(EL)的情况下,程序会在标签中重复计算EL表达式。通过(a)spring:hasBindErrors标签中的(1)名字属性;(b)spring:bind或(c)spring:nestedpath标签中的(2)路径属性;(d)spring:message或(e)spring:theme标签中的(3)参数(4)代码(5)文本(6)定义变量(7)作用域或(8)消息属性;(f)spring:transform标签中的(9)定义变量(10)作用域或(11)值属性,远程攻击者利用该漏洞获取敏感信息。又名 表达式语言注入 。
CVE-2011-2730 MPS-2012-5092
2023-12-20 19:52
Apache Commons FileUpload 权限绕过漏洞
权限、特权和访问控制
Apache Commons FileUpload 是一款可将文件上传到 Servlet 和 Web 应用程序的软件包。 Apache Commons FileUpload 受影响版本的 javax.servlet.context.tempdir 的默认配置使用 /tmp 目录上传文件,这允许本地用户通过未指定的符号链接攻击覆盖任意文件。
CVE-2013-0248 MPS-2013-1041
2023-12-20 19:52
Apache Commons FileUpload DiskFileItem 类任意文件写入漏洞
输入验证不恰当
Apache Commons FileUpload 是一套可将文件上传到 Servlet 和 Web 应用程序的软件包。 Apache Commons FileUpload 中的 DiskFileItem 类由于没有正确处理文件名中的 NULL 字符,导致远程攻击者可通过构造序列化实例写入任意文件。 以下产品及版本受到影响:Red Hat JBoss BRMS 5.3.1,Red Hat JBoss Portal 4.3 CP07,5.2.2,6.0.0,Red Hat JBoss Web Server 1.0.2。
CVE-2013-2186 MPS-2013-4267
2023-12-20 19:52
Potix ZK Framework 跨站脚本漏洞
XSS
ZK Framework是Potix公司的一套以AJAX/XUL/Java为基础的网页应用程序开发框架,它主要用于开发Web和移动应用程序。 ZK Framework 5.0.12及之前的版本中存在跨站脚本漏洞。远程攻击者可利用该漏洞注入任意Web脚本或HTML。
CVE-2013-5966 MPS-2013-4543
2023-12-20 19:52
Apache Commons FileUpload <1.3.1 拒绝服务漏洞
权限、特权和访问控制
Apache Commons FileUpload 是一款将文件上传到 Servlet 和 Web 应用程序的开源软件包。 Apache Commons FileUpload 受影响版本版本中的 MultipartStream.java 由于缓冲区设置不合理,导致攻击者可能通过特制 Content-Type 标头使服务停止响应甚至崩溃。
CVE-2014-0050 MPS-2014-1540
2023-12-20 19:52
Apache Struts 远程代码执行漏洞
输入验证不恰当
Apache Struts是美国阿帕奇(Apache)软件基金会的一个开源项目,是一套用于创建企业级Java Web应用的开源MVC框架,主要提供两个版本框架产品,Struts 1和Struts 2。 Apache Struts 1.x版本至1.3.10版本中的Apache Commons BeanUtils 1.9.2及之前版本中,可以通过获取类属性操纵classloader,导致攻击者可以通过ActionForm对象的class属性,执行任意代码。
CVE-2014-0114 MPS-2014-2167
2023-12-20 19:52
Apache Groovy 代码注入漏洞
注入
Apache Groovy是美国阿帕奇(Apache)软件基金会的一种基于Java平台面向对象的编程语言,它结合了Python、Ruby和Smalltalk的许多强大的特性。 Apache Groovy 1.7.0版本至2.4.3版本的runtime/MethodClosure.java文件中的MethodClosure类存在安全漏洞。远程攻击者可借助特制的序列化对象利用该漏洞执行任意代码,或造成拒绝服务。
CVE-2015-3253 MPS-2015-3848
2023-12-20 19:52
多款Cisco产品Apache Commons Collections库任意代码执行漏洞
反序列化
Apache Commons Collections(ACC)是美国阿帕奇(Apache)软件基金会的一个Apache Commons项目的Commons Proper(可重复利用Java组件库)中的组件,它可以扩展或增加Java集合框架。 某些Cisco Collaboration and Social Media、Endpoint Clients and Client Software、Network Application, Service, and Acceleration、Network and Content Security Devices、Network Management and Provisioning、Routing and Switching - Enterprise and Service Provider、Unified Computing、Voice and Unified Communications Devices、Video, Streaming, TelePresence, and Transcoding Devices、Wireless和Cisco Hosted Services产品中的序列化对象接口存在漏洞,允许远程攻击者通过恶意构造的序列化Java对象执行任意命令,与Apache Commons Collections (ACC)库相关。
CVE-2015-6420 MPS-2015-6277
2023-12-20 19:52
BeanShell 任意命令执行漏洞
数据处理错误
BeanShell(bsh)是一个开源的、免费的Java源代码解释器。 BeanShell(bsh)2.0b6之前版本中存在安全漏洞。当使用Java序列化或Xstream的应用程序将BeanShell包含在类路径中时,远程攻击者可借助特制的序列化数据利用该漏洞执行任意代码。
CVE-2016-2510 MPS-2016-1438
2023-12-20 19:52
Apache Commons FileUpload 访问控制错误漏洞
访问控制不当
Apache Commons FileUpload是美国阿帕奇(Apache)基金会的一个可将文件上传到Servlet和Web应用程序的软件包。 Apache Commons FileUpload 1.3.3之前版本中存在访问控制错误漏洞。该漏洞源于网络系统或产品未正确限制来自未授权角色的资源访问。
CVE-2016-1000031 MPS-2016-5301
2023-12-20 19:52
多款Red Hat产品代码问题漏洞
反序列化
Red Hat JBoss A-MQ等都是美国红帽(Red Hat)公司的产品。Red Hat JBoss A-MQ是美国红帽(Red Hat)公司的一套开源的消息传递平台。BPM Suite(BPMS)是一套集合了JBoss BRMS所有功能的业务流程管理平台。 多款Red Hat产品存在安全漏洞。远程攻击者可借助恶意构造的序列化Java对象利用该漏洞执行任意命令。以下产品和版本受到影响:Red Hat JBoss A-MQ 6.x版本;BPM Suite (BPMS) 6.x版本;BRMS 6.x版本和5.x版本;Data Grid (JDG) 6.x版本;Data Virtualization (JDV) 6.x版本和5.x版本;Enterprise Application Platform 6.x版本,5.x版本和4.3.x版本;Fuse 6.x版本;Fuse Service Works (FSW) 6.x版本;Operations Network (JBoss ON) 3.x版本;Portal 6.x版本;SOA Platform (SOA-P) 5.x版本;Web Server (JWS) 3.x版本;Red Hat OpenShift/xPAAS 3.x版本;Red Hat Subscription Asset Manager 1.3版本。
CVE-2015-7501 MPS-2017-12638
2023-12-20 19:52
Apache Commons Beanutils 存在不可信数据的反序列化漏洞
反序列化
为了修复CVE-2014-0114,在 Apache Commons Beanutils 1.9.2 中,添加了一个特殊的 BeanIntrospector 类,能够用于阻止攻击者通过Java 对象的属性去访问类加载器。 但是该特性并未默认启用,在1.9.4版本中,该特性改为默认启用。
CVE-2019-10086 MPS-2019-10233
2023-12-20 19:52
SnakeYAML <1.26 存在 Billion laughs 漏洞
拒绝服务
snakeYAML 是一个将 YAML 文件与 Java 对象相互转换的开源代码库。Billion laughs 是一种针对XML文档解析器的拒绝服务 (DoS) 攻击。 snakeYAML 在 1.26 之前的版本中通过 Alias 功能加载外部实体时存在 XXE 漏洞,当 snakeYAML 解析包含恶意负载(如包含大量实体)的 YAML 文件时会导致堆溢出,攻击者可以在控制用户加载外部实体的情况下进行拒绝服务攻击,用户可禁止加载不可信数据或自定义过滤器来缓解此漏洞。
CVE-2017-18640 MPS-2019-16129
2023-12-20 19:52
Apache Log4j SocketServer反序列化漏洞
反序列化
Log4j是美国阿帕奇(Apache)软件基金会的一款基于Java的开源日志记录工具。Log4j 1.2版本中包含的SocketServer类,在未添加额外验证的情况下,会对接收的序列化日志事件进行反序列化,在结合反序列化利用gadget时,可以远程执行任意代码。
CVE-2019-17571 MPS-2019-17271
2023-12-20 19:52
Spring Framework <6.0.0 远程代码执行漏洞
反序列化
Spring Framework 是美国Pivotal Software公司的一套开源的Java、Java EE应用程序框架。 Spring Framework 受影响版本 HttpInvokerServiceExporter 类中 readRemoteInvocation 方法在反序列化前没有正确验证传入数据,使得不可信数据的反序列化导致远程代码执行。
CVE-2016-1000027 MPS-2020-0057
2023-12-20 19:52
Apache Log4j2 SmtpAppender证书验证不当漏洞
证书验证不恰当
Apache Log4j是美国阿帕奇(Apache)基金会的一款基于Java的开源日志记录工具。 Apache Log4j 2.12.3及2.13.1之前的版本中,SmtpAppender没有验证主机名称与SMTPS连接的SSL/TLS证书是否匹配,攻击者可以通过中间人攻击利用该漏洞拦截SMTPS连接,获取日志消息。
CVE-2020-9488 MPS-2020-6684
2023-12-20 19:52
Spring Framework <5.3.14 日志注入漏洞
日志输出的转义处理不恰当
Spring Framework是美国Spring团队的一套开源的Java、JavaEE应用程序框架。 Spring Framework 受影响版本由于在 CVE-2021-22096 的修复不严谨,导致可以通过日志注入绕过Spring框架的访问限制进行修改数据。
CVE-2021-22060 MPS-2021-18854
2023-12-20 19:52
Pivotal Spring Framework 日志注入漏洞
日志输出的转义处理不恰当
Pivotal Spring Framework 是美国Pivotal Software公司的一套开源的Java、Java EE应用程序框架。 在受影响版本中的 Spring Framework 中,由于 spring-core 中 DefaultDataBuffer.checkIndex 方法在断言日志时没有正确使用长度参数,导致用户提供的恶意输入可能导致插入额外的日志条目,进行日志注入。
CVE-2021-22096 MPS-2021-18890
2023-12-20 19:52
Quality Open Software logback JNDI注入漏洞
反序列化
Logback 是一款开源的 Java 日志记录框架。 在logback 受影响版本中,拥有编辑配置文件权限或能够控制其中JNDI服务的攻击者(如配置了SMTPAppender),可以通过JNDI注入,执行任意代码。
CVE-2021-42550 MPS-2021-33911
2023-12-20 19:52
没有更多内容
加载失败,请刷新页面
点击加载更多
加载中
下一页
2 评论
196 收藏
分享
OSCHINA
登录后可查看更多优质内容
返回顶部
顶部