Spring Framework遠(yuǎn)程代碼執(zhí)行漏洞

一、 漏洞描述Spring官方發(fā)布安全公告,披露了一個(gè)Spring框架可在JDK>=9版本下實(shí)現(xiàn)遠(yuǎn)程代碼執(zhí)行的漏洞(CVE-2022-22965)。二、 漏洞詳情CVE-2022-22965: Spring Framework遠(yuǎn)程代碼執(zhí)行漏洞CVE: CVE-2022-22965 組件: Spring Framework漏洞類型: 代碼問題影響: 遠(yuǎn)程代碼執(zhí)行簡(jiǎn)述: 見漏洞描述。 三

查看詳細(xì)

Linux Polkit權(quán)限提升漏洞

一、 漏洞描述pkexec是安裝在所有主流Linux發(fā)行版上的SUID-root程序,用于授權(quán)用戶在預(yù)定的策略下以其他用戶身份執(zhí)行命令。該漏洞是由于pkexec無(wú)法正確處理調(diào)用參數(shù)計(jì)數(shù),導(dǎo)致最終會(huì)試圖將環(huán)境變量作為系統(tǒng)命令執(zhí)行。攻擊者可以通過控制環(huán)境變量,從而使得pkexec執(zhí)行任意命令。成功利用該漏洞,任何非特權(quán)的本地用戶都可以獲取root權(quán)限。二、 漏洞詳情CVE-2021-4034:

查看詳細(xì)

多個(gè)Log4j 1.x的漏洞

一、 漏洞描述Apache發(fā)布安全公告披露了3個(gè)Log4j的漏洞,均影響Apache Log4j 1.x版本,且官方不再進(jìn)行支持維護(hù),請(qǐng)相關(guān)用戶盡快采取措施進(jìn)行防護(hù)。二、 漏洞詳情CVE-2022-23302: Apache log4j JMSSink反序列化代碼執(zhí)行漏洞CVE: CVE-2022-23302 組件: log4j漏洞類型: 代碼問題影響: 信息泄露簡(jiǎn)述: 當(dāng)攻擊者具有修改L

查看詳細(xì)

Oracle WebLogic Server 信息泄露漏洞

一、 漏洞描述未授權(quán)的攻擊者可利用 HTTP 協(xié)議,通過存在漏洞的 Oracle WebLogic Server組件進(jìn)行攻擊,從而導(dǎo)致關(guān)鍵信息泄露。二、 漏洞詳情CVE-2022-21292: Oracle WebLogic Server 信息泄露漏洞CVE: CVE-2022-21292 組件: WebLogic漏洞類型: 代碼問題影響: 信息泄露簡(jiǎn)述: 見漏洞描述。 三、 影響版本

查看詳細(xì)

Microsoft Windows Installer 權(quán)限提升漏洞

一、 漏洞描述攻擊者可利用此漏洞中存在的問題,通過以一定的邏輯步驟來(lái)安裝組件,從而觸發(fā)一個(gè)邏輯錯(cuò)誤,導(dǎo)致最終獲取計(jì)算機(jī)的最高權(quán)限。二、 漏洞詳情 CVE-2022-2190: Microsoft Windows Installer 權(quán)限提升漏洞CVE: CVE-2022-2190 組件: Installer漏洞類型: 代碼問題影響: 權(quán)限提升簡(jiǎn)述: 見漏洞描述。 三、 影響版本影響產(chǎn)

查看詳細(xì)