文章
  • 文章
搜索
安全
  • 【网络安全预警】泛微e-cology OA系统 validate.jsp 前台SQL注入漏洞

    2019年10月18日,阿里云应急响应中心捕获泛微e-cology OA系统前台SQL注入漏洞攻击方式。攻击者通过构造特定的HTTP请求,成功利用漏洞可在目标服务器上执行SQL语句,可导致脱库,风险较大。漏洞描述泛微e-cology OA系统的validate.jsp文件中,由于对参数capitalid过滤不严,可导致SQL注入漏洞。攻击者利用该漏洞,可在未授权的情况下,远程发送精心构造的SQL语句,从而获取数据库敏感信息。阿里云应急响应中心提醒泛微e-cology OA用户尽快采取安全措施阻止漏洞攻击。影响版本泛微e-cology OA系统 V8 V9版本安全建议泛微e-cology OA系统为商

    2019-10-19 0 0 0 0
  • 【网络安全预警】Kibana远程代码执行漏洞(CVE-2019-7609)预警通告

    TAG:Kibana、Timelion、远程代码执行、CVE-2019-7609漏洞危害:高,攻击者利用此漏洞,可造成远程代码执行。版本:1.01漏洞概述2019年2月官方发布公告称Kibana存在远程代码执行漏洞,5.6.15 和 6.6.1之前的 Kibana 版本在 Timelion 可视化工具中存在功能缺陷,导致攻击者可在服务器上利用Kibana执行任意代码,目前PoC已公布,请相关用户及时进行自查和防护。Kibana 是 Elasticsearch 的开源数据可视化插件。它为Elasticsearch提供可视化功能,可以用来搜索和查看存储在Elasticsearch索引中的数据,并可以将数据以各种图表、表格和地图的形

    2019-10-18 0 0 0 0
  • 【网络安全预警】WebLogic反序列化漏洞

    一、背景信息2019年10月16日,海青实验室监测到Oracle官方发布了2019年10月安全更新公告,内含CVE-2019-2890漏洞预警,漏洞等级严重。WebLogic 是 Oracle 公司出品的基于 JavaEE 架构的中间件,用于开发、集成、部署和管理大型分布式 Web 应用、网络应用和数据库应用的的Java应用服务器。Weblogic在利用T3协议进行远程资源加载调用时,默认会进行黑名单过滤以保证反序列化安全。本漏洞绕过了Weblogic的反序列化黑名单,使攻击者可以通过T3协议对存在漏洞的Weblogic组件实施远程攻击。由于T3协议在Weblogic控制台开启的情况下默认开启,而W

    2019-10-17 0 0 0 0
  • 【网络安全预警】泛微OA前台SQL 注入漏洞

    一前言泛微专注于协同管理OA软件领域,并致力于以协同OA为核心,帮助企业构建全新的移动办公平台。作为协同管理软件行业的实力企业,泛微有业界优秀的协同管理软件产品。二漏洞简介泛微e-cology OA系统的WorkflowCenterTreeData接口,且后端使用Oracle数据库时,由于内置SQL语句拼接不严,导致泛微e-cology OA系统存在SQL注入漏洞。攻击者利用该漏洞,可在未授权的情况下,远程发送精心构造的SQL语句,从而获取数据库敏感信息。三漏洞危害经斗象安全应急响应团队分析,攻击者可以通过精心构造的请求包在受影响版本的泛微OA上进行SQL注入,

    2019-10-11 0 0 0 0
  • 【网络安全预警】Windows 远程桌面服务远程命令执行漏洞(CVE-2019-0708)

    一前言北京时间5月15日,微软发布了针对远程桌面服务的远程执行代码漏洞CVE-2019-0708的修复程序, 漏洞触发无需用户交互。这也就意味着,攻击者可以利用该漏洞制作类似于2017年席卷全球的WannaCry类的蠕虫病毒,进行大规模传播和破坏。斗象智能安全ARS/PRS产品已全面支持该漏洞的检测与验证,用户可直接登陆www.riskivy.com 进行验证。二漏洞简介远程桌面服务(以前称为终端服务)中存在远程执行代码漏洞,当未经身份验证的攻击者使用RDP连接到目标系统并发送特制请求时。成功利用此漏洞的攻击者可以在目标系统上执行任意代码。然后攻击者

    2019-09-07 0 0 0 0
  • 【网络安全预警】阿里巴巴的开源JSON解析库Fastjson远程拒绝服务漏洞

    一前言Fastjson是阿里巴巴的开源JSON解析库,它可以解析JSON格式的字符串,支持将Java Bean序列化为JSON字符串,也可以从JSON字符串反序列化到JavaBean。二漏洞简介Fastjson 1.2.60版本以下存在字符串解析异常。三漏洞危害经斗象安全应急响应团队分析Fastjson多个版本存在远程拒绝服务漏洞,Fastjson 1.2.60版本以下存在字符串解析异常,可导致远程拒绝服务攻击。攻击者即可通过精心构造的请求包对使用Fastjson的服务器造成远程拒绝服务攻击,可导致服务器宕机。四影响范围产品Fastjson版本1.2.60以下版本组件Fastjson五漏洞复现经本地测试

    2019-09-05 0 0 0 0
  • 【网络安全预警】Windows 远程桌面服务远程命令执行漏洞 (CVE-2019-1181 / 1182)

    一前言北京时间8月14日,微软发布了一套针对远程桌面服务的修复程序,其中包括两个关键的远程执行代码(RCE)漏洞CVE-2019-1181和CVE-2019-1182。与之前修复的“BlueKeep”漏洞(CVE-2019-0708)一样。这也就意味着,攻击者可以利用该漏洞制作类似于2017年席卷全球的WannaCry类的蠕虫病毒,进行大规模传播和破坏。二漏洞简介远程桌面服务(以前称为终端服务)中存在远程执行代码漏洞,当未经身份验证的攻击者使用RDP连接到目标系统并发送特制请求时,成功利用此漏洞的攻击者可以在目标系统上执行任意代码,然后攻击者可以安装程序、查看、

    2019-08-15 0 0 0 0
  • 【网络安全预警】Django JSONField HStoreField SQL 注入漏

    一前言Django是一个开放源代码的Web应用框架,由Python写成。采用了MTV的框架模式,即模型M,视图V和模版T。它最初是被开发来用于管理劳伦斯出版集团旗下的一些以新闻内容为主的网站的,即是CMS(内容管理系统)软件,并于2005年7月在BSD许可证下发布。二漏洞简介Django 在2019年8月2日进行了安全补丁更新, 修复了4个CVE, 其中包含一个SQL注入漏洞。三漏洞危害经斗象安全应急响应团队分析,攻击者可以通过精心构造的请求包攻击使用了脆弱版本Django框架的服务器,攻击成功将会导致SQL注入漏洞,泄露网站数据信息。四影响范围产品Django版本

    2019-08-02 0 0 0 0
共有9页首页上一页123456789下一页尾页

普洱IT网

关注公众号

Copyright @ 2019 . All rights reserved.普洱IT网 www.puerit.cn 版权所有. 滇ICP备17002063号

底部导航

关于我们

联系我们

电话/微信:15154870627
QQ:1109920080
邮箱:puerit@qq.com
址:云南·普洱

普洱IT网—健康第一,终生学习,注重安全,诚信为本!

关注微博

商城

访问小程序

0
×

购物车

商品名称 数量 产品单价 折扣 总计
金额总计:¥23立即结算