spel - 第 3 | CN-SEC 中文网

安全漏洞

【漏洞预警】OpenMetadata SPEL注入漏洞 (CVE-2024-28847)

漏洞详情:OpenMetadata是一个统一的发现、可观察和治理平台,由中央元数据存储库、深入的沿袭和无缝团队协作提供支持,OpenMetadata 1.2.4之前版本存在安全漏洞,该漏洞源于PUT ...

05月11日31 views评论

阅读全文

安全文章

通过 SSTI 在 Spring Boot 错误页面上使用 Akamai WAF 绕过进行 RCE

文章介绍这篇文章主要讲述了作者与Dark9T (@UsmanMansha)在 Bugcrowd 上合作的成功经历。他们成功绕过了 Akamai WAF，并在运行 Spring Boot...

04月24日18 views评论

阅读全文

安全新闻

黑客利用 OpenMetadata 漏洞在 Kubernetes 上挖掘加密货币

OpenMetadata简介OpenMetadata 是一个开源平台，可作为元数据管理工具运行，为数据资产发现、可观测性和治理提供统一的解决方案。 Microsoft 威胁情报团队四月份表示，攻击者利...

04月22日39 views评论

阅读全文

安全漏洞

漏洞预警 | OpenMetadata身份验证绕过和SpEL表达式注入漏洞

0x00 漏洞编号CVE-2024-28255CVE-2024-28253CVE-2024-28847CVE-2024-28254CVE-2024-288480x01 危险等级高危0x02 漏洞概述O...

04月22日64 views评论

阅读全文

【漏洞通告】OpenMetadata身份验证绕过漏洞（CVE-2024-28255）

一、漏洞概述漏洞名称OpenMetadata身份验证绕过漏洞CVE IDCVE-2024-28255漏洞类型身份验证绕过发现时间2024-04-16漏洞评分9.8漏洞等级严重攻击向量网络所需权限无...

04月16日安全新闻73 views评论

阅读全文

OpenMetadata 中的预身份验证 RCE - CVE-2024-28253、28254、28255、28845....

概括 OpenMetadata 容易受到多个 SpEL 表达式注入和身份验证绕过的攻击，从而导致预身份验证远程代码执行 (RCE)。产品 OpenMetadata 测试版本 1.2.2 细节 GET...

03月28日安全新闻71 views评论

阅读全文

安全文章

java-命令执行(RCE)

RCE漏洞什么是RCE漏洞？RCE漏洞也叫命令执行或者远程命令执行漏洞，可让攻击者直接向后台服务器写入系统命令，从而执行系统命令后通过系统命令获得系统权限盗取敏感信息出现此类漏洞通常由于...

02月15日22 views评论

阅读全文

代码审计

【Java代码审计】命令执行漏洞审计

1. 漏洞原理因用户输入未过滤或净化不完全，导致Web应用程序接收用户输入，拼接到要执行的系统命令中执行。一旦攻击者可以在目标服务器中执行任意系统命令，就意味着服务器已被非法控制。2. 审计中常用函数...

09月26日97 views评论

阅读全文

契约锁电子签章平台远程命令执行漏洞（XVE-2023-23720）

POST /captcha/%2e%2e/template/html/add HTTP/1.1Host: xxxAccept-Encoding: gzip, deflateAccept: */*Acc...

09月02日安全漏洞34 views评论

阅读全文

安全工具

针对Spring漏洞综合利用图形化工具

声明：该公众号分享的安全工具和项目均来源于网络，仅供安全研究与学习之用，如用于其他用途，由使用者承担全部法律及连带责任，与工具作者和本公众号无关。现在只对常读和星标的公众号才展示大图推送，建议大家把...

08月21日95 views已关闭评论

阅读全文

安全文章

CVE-2017-8046 Spring Data REST命令执行漏洞分析

漏洞简介简要说明该漏洞是由于“Spring表达式语言”Spring Expression Language (SpEL) 导致的问题。漏洞原因可以归属于“表达式注入”。影响版本Spring Data ...

05月16日46 views评论

阅读全文

代码审计

java代码审计-SpEL表达式注入

0x01 前言Spring Expression Language（简称 SpEL）是一种功能强大的表达式语言、用于在运行时查询和操作对象图；语法上类似于Unified EL，但提供了更多的特性，特别...

04月24日53 views评论

阅读全文

【漏洞预警】OpenMetadata SPEL注入漏洞 (CVE-2024-28847)

通过 SSTI 在 Spring Boot 错误页面上使用 Akamai WAF 绕过进行 RCE

黑客利用 OpenMetadata 漏洞在 Kubernetes 上挖掘加密货币

漏洞预警 | OpenMetadata身份验证绕过和SpEL表达式注入漏洞

【漏洞通告】OpenMetadata身份验证绕过漏洞（CVE-2024-28255）

OpenMetadata 中的预身份验证 RCE - CVE-2024-28253、28254、28255、28845....

java-命令执行(RCE)

【Java代码审计】命令执行漏洞审计

契约锁电子签章平台远程命令执行漏洞（XVE-2023-23720）

针对Spring漏洞综合利用图形化工具

CVE-2017-8046 Spring Data REST命令执行漏洞分析

java代码审计-SpEL表达式注入

在线咨询

微信