在趋势科技漏洞研究服务漏洞报告中,趋势科技研究团队的 Guy Lederfein 和 Dusan Stevanovic 详细介绍了 Apache 网络服务器中最近新出现的一个代码执行漏洞。该漏洞最初是...
Log4j2复现修复利用
本文由Scynull编译,校对,转载请注明。 免责申明 归零安全的技术文章仅供参考,此文所提供的...
原创 | Log4j2漏洞复现
导语:这是团队学员、团队主力成员C.的原创文章,一个阳光、帅气、内敛的大男孩(至今未恋爱,想要认识的美女,可加我微信),就读某省警官学院,非常努力,而且专注,天赋能力强,是我得意的徒弟之一,他说他的家...
【漏洞通告】Apache Spark 命令注入漏洞安全风险通告
点击上方蓝字关注我们!漏洞背景2022年3月29日,嘉诚安全监测到Apache官方发布了Apache Spark 命令注入漏洞的安全风险通告,暂无漏洞编号。Spark是用于大规模数据处理的统一分析引擎...
【安全风险通告】Apache Spark命令注入漏洞安全风险通告
奇安信CERT致力于第一时间为企业级用户提供安全风险通告和有效解决方案。安全通告漏洞名称Apache Spark命令注入漏洞公开时间2022-03-26更新时间2022-03-29CVE编号暂无其他编...
Apache Log4j2 远程代码执行漏洞复现(CVE-2021-44228、CNVD-2021-95914)
01.漏洞描述Apache Log4j 是一个基于 Java 的日志记录组件。Apache Log4j2 是 Log4j 的升级版本,通过重写 Log4j 引入了丰富的功能特性。该日志组件被广泛应用于...
【0day EXP】Apache APISIX 2.12.1 远程执行代码(RCE)
点击上方蓝字“Ots安全”一起玩耍描述据发现,由于打包问题,持久键值数据库 redis 容易出现(特定于 Debian)的 Lua 沙箱逃逸,这可能导致远程代码执行。参考https://nvd.nis...
Tellyouthepass勒索病毒家族利用多个漏洞攻击传播,Windows、Linux均受影响
长按二维码关注腾讯安全威胁情报中心腾讯安全能力运营团队近日,腾讯安全威胁情报中心检测到有攻击者利用Shiro反序列化高危漏洞、Apache Log4j2 高危漏洞对企业实施勒索攻击,最终投递...
Jenkins脏牛漏洞FRP内网提权
*严正声明:本文仅限于技术讨论与分享,严禁用于非法途径0×01 概述Jenkins是一款由Java编写的开源的持续集成工具。Jenkins提供了软件开发的持续集成服务。它运行在Servlet容器中(例...
Java安全之半自动挖洞
前言:老实说,本文核心技术在炒冷饭,但思路有创新。我认为该文章是将模拟栈帧技术实际落地的一个示例,因此抛砖引玉作用更多。作者刚入门只能挖鸡肋DOS,但经验丰富的师傅们改造下也许可半自动挖RCE介绍去年...
BCEL ClassLoader去哪了?
com.sun.org.apache.bcel.internal.util.ClassLoader是常常在构造漏洞利用POC时用到的类。但是,我前几天在写《Java安全漫谈》的时候,偶然发现我环境中的...
【漏洞复现】Apache APISIX < 2.12.1 远程代码执行
Apache APISIX是一个动态、实时、高性能的 API 网关。它提供流量管理功能,例如负载均衡、动态上行、身份验证、金丝雀发布等。2021 年 6 月 16 日,Apache在 2.12.1 之...
80