反序列化漏洞 - 第 12 | CN-SEC 中文网

安全新闻

Ivanti Endpoint Manager 未授权反序列化漏洞可导致远程代码执行

漏洞描述: 监测到Ivanti Endpoint Manager应用中存在一个反序列化漏洞，未经授权的攻击者可以通过该漏洞在服务器上执行任意代码，获取服务器控制权限和敏感信息。修复建议: 正式防护方...

09月13日34 views评论

阅读全文

安全漏洞

用友NC Cloud blobRefClassSearch接口存在反序列化漏洞附POC

1. 用友NC Cloud 简介微信公众号搜索：南风漏洞复现文库该文章南风漏洞复现文库公众号首发用友网络是全球领先的企业与公共组织软件、云服务、金融服务提供商。提供营销、制造、财务、人力等产...

09月13日55 views评论

阅读全文

代码审计

.NET反序列化漏洞类型以及案例分析（1）-LosFormatter

前言笔者之前在学习.net代码审计时，看到了有许多种反序列化漏洞类型，但发现市面上爆出的.net反序列化相关的漏洞相较于java却少之又少，漏洞后利用工具和学习案例也是及其的难找，本系列文章会对国内....

09月09日69 views评论

阅读全文

安全文章

Fastjson分析系列1.2.22-1.2.24反序列化漏洞分析

前言本文为Fastjson1.2.22-1.2.24反序列化漏洞分析。主要利用链分为基于TemplateImpl的利用链和基于JdbcRowSetImpl的利用链 TemplateImpl利用链 ...

08月18日12 views已关闭评论

阅读全文

jackson反序列化漏洞

反序列化漏洞触发根因使用了危险的类+传入类的参数外部可控未使用危险的类+类型和传入类型的参数外部可控第一种情况取决于开发在类中使用了危险的方法，常见于原生反序列化漏洞；第二种情况常见于允许解析外部传入...

08月11日代码审计35 views评论

阅读全文

安全工具

Nacos常见漏洞的检测及其利用工具

最近工作上遇到了一个挺有意思的问题。我们在进行hvv和安全演练的时候，发现需要一个能够集成Nacos常见漏洞检测及利用的网络安全工具。这样一来，我们就可以更方便地对系统进行安全漏洞扫描和测试了。今天...

07月31日45 views评论

阅读全文

代码审计

反序列化漏洞Java篇—CC1

前言学java反序列化，怎么能少了对每条链的理解呢？本篇我们主要是选择CC1中的其中一条链TransformedMap进行手搓。漏洞触发点CC1一共是有两条：一条是Lazymap,一条是Transfo...

07月31日13 views评论

阅读全文

安全漏洞

任我行CRM存在反序列化漏洞

漏洞简介任我行CRM是CRM（客户关系管理）、OA（自动化办公）、OM（目标管理）、KM（知识管理）、HR（人力资源）一体化的企业管理软件。通过建立组织运营管理铁三角（目标行动-企业文化-知...

07月29日210 views评论

阅读全文

安全漏洞

用友NC-Cloud反序列化漏洞

0x00 漏洞编号暂无 0x01 危险等级高危 0x02 漏洞概述用友NC Cloud是新一代云ERP产品，为成长型、大型、巨型集团企业提供混合云解决方案。 0x03 漏洞详情漏洞类型：反序列...

07月23日34 views评论

阅读全文

安全漏洞

万户协同办公平台 ezEIP存在反序列化漏洞（附POC）

漏洞简介万户协同办公平台 ezEIP 是一个综合信息基础应用平台。系统完善的用户、权限、角色、对象多层分离权限管理体系，实现分站点、分栏目、分对象的分权管理体系，将站点维护工作分担到各职能部门...

07月20日182 views评论

阅读全文

安全漏洞

Oracle WebLogic Server 远程代码执行漏洞（CVE-2024-21181）

转自；长亭安全应急响应中心 Oracle WebLogic Server 是一款由Oracle公司开发的企业级应用服务器，用于构建和部署多层分布式应用程序，具有高性能、可扩展性和可靠性。...

07月20日155 views评论

阅读全文

安全新闻

Oracle WebLogic Server 远程代码执行漏洞（CVE-2024-21181）

Oracle WebLogic Server 是一款由Oracle公司开发的企业级应用服务器，用于构建和部署多层分布式应用程序，具有高性能、可扩展性和可靠性。 2024年7月，Oracle官方发布补丁...

07月19日89 views评论

阅读全文

在线咨询

微信