重磅盘点
2021十大JAVA漏洞
1.Log4j2 CVE-2021-44228
远程命令执行漏洞
Apache Log4j2是一款优秀的Java日志框架,其中提供了Lookups机制,用于添加一些特殊值到日志中。由于解析顺序不当,导致攻击者可通过恶意请求,触发远程代码执行漏洞。
2.XStream 反序列化漏洞若干
XStream是一个常用的Java对象和XML相互转换的工具,攻击者通过构造恶意的XML文档,可绕过XStream的黑名单,触发反序列化,从而造成反序列化代码执行漏洞。
3.Weblogic 反序列化漏洞若干
WebLogic是美国Oracle公司出品的Java应用服务器,WebLogic是用于开发、集成、部署和管理大型分布式Web应用、网络应用和数据库应用。攻击者可以通过构造恶意请求,利用反序列化漏洞获取服务器权限。
4.Apache Druid 未授权
RCE CVE-2021-26919/CVE-2021-25646
CVE-2021-25646 Apache Druid是用Java编写的面向列的开源分布式数据存储,由于Apache Druid 默认情况下缺乏授权认证,攻击者可直接构造恶意请求执行任意代码,控制服务器。
5.Apache Shiro
权限绕过 CVE-2020-17523 中危
Apache Shiro是一个开源安全框架,拥有身份验证、授权、加密和会话管理的功能。低于1.7.1版本的ApacheShiro在与Spring框架结合使用时,在一定权限匹配规则下,攻击者可以通过构造特定的HTTP请求包绕过身份认证,从而访问未授权资源。
6.Apache OFBiz RMI
反序列化RCE CVE-2021-26295
Apache OFBiz是一个电子商务平台,用于构建大中型企业级、跨平台、跨数据库、跨应用服务器的多层、分布式电子商务类应用系统。攻击者可构造恶意请求,触发反序列化,从而造成任意代码执行。
7.Atlassian Confluence
远程代码执行漏洞 CVE2021-26084
Atlassian Confluence是Atlassian公司出品的专业的企业知识管理与协同软件,可用于构建企业文库等。攻击者可以在未登录的情况下构造恶意请求,造成任意代码执行。
8.Apache Dubbo
远程代码执行漏洞若干
Apache Dubbo是一款应用广泛的Java RPC分布式服务框架,攻击者可以构造恶意请求造成远程代码执行漏洞。
9.Apache Tomcat Session
反序列化漏洞 CVE-2021-25329
Apache Tomcat是由Apache软件基金会属下Jakarta项目开发的Servlet容器,攻击者可以构造恶意请求绕过CVE-2020-9484补丁,造成反序列化代码执行漏洞。
10.致远OA
ajaxAction formulaManager 文件上传漏洞
致远OA是一套办公协同软件,由于致远OA旧版本某些ajax接口存在未授权访问,攻击者通过构造恶意请求,可在无需登录的情况下上传恶意脚本文件,从而控制服务器。
11.Apache Flink
CVE-2020-17518/CVE-2020-17519
Apache Flink是一个流式的数据流执行引擎,其针对数据流的分布式计算提供了数据分布、数据通信以及容错机制等功能。Flink 1.5.1引入了REST API,但其实现上存在多处缺陷,导致目录遍历和任意文件写入漏洞。
我不允许你到现在
还没看过最美电子杂志《岩谈》!