xslt | CN-SEC 中文网

Google Project Zero 的 Windows 漏洞研究：通过 IDispatch 访问受困 COM 对象的漏洞模式

Project Zero Windows Bug Class Accessing Trapped COM Objects with IDispatch面向对象的远程技术（如 DCOM 和 .NET R...

02月08日安全新闻21 views评论

阅读全文

安全文章

JDK-Xalan的XSLT整数截断漏洞利用构造

前言Apache Flink最近有师傅披露了一个漏洞，可以调用任意类的main方法，不过在披露中所利用到的类只有在jdk11以上才存在。这时我考虑的是，我们常见的jdk8种能否找到利用类。经过寻找后找...

12月05日49 views评论

阅读全文

安全文章

千变万化的WebShell

第一节 CMS获取WebShell1.1、什么是CMS？CMS是Content Management System的缩写，意为"内容管理系统"。内容管理系统是企业信息化建设和电子政务的新宠，也是一个相...

11月14日8 views评论

阅读全文

安全漏洞

CNVD-2023-34111 RCE漏洞（附EXP）

0x00 前言在一次外部渗透测试中，我偶然发现了一个可见的 Solr 管理面板。我专注于这个特定的应用程序来测试隐藏在下面的东西。（Solr的主页）Apache Solr 的版本是...

11月10日67 views评论

阅读全文

安全文章

xstream反序列化漏洞打内存马

xstream组件还是用的比较多的。实战当中也有很多xstrem漏洞引发的RCE漏洞案例如下图所示使用xstream对可控数据进行反序列化使用xslt链内存马攻击成功原文始发于微信公众号（代码审计St...

09月23日30 views评论

阅读全文

安全漏洞

Apache Wicket远程代码执行漏洞

0x00 漏洞编号 CVE-2024-36522 0x01 危险等级高危 0x02 漏洞概述 Apache Wicket是一个功能强大、灵活易用且开源的Java Web应用程序框架，具有面向组件的开...

07月23日26 views评论

阅读全文

Apache Wicket远程代码执行漏洞（CVE-2024-36522）

一、漏洞概述漏洞名称 Apache Wicket远程代码执行漏洞 CVE ID CVE-2024-36522 漏洞类型 XSLT注入发现时间 2024-07-15 漏洞评分 9.8 漏洞等级 ...

07月15日安全新闻73 views评论

阅读全文

安全新闻

CVE-2024-36522 Apache Wicket 存在远程代码执行漏洞

Apache 软件基金会发布了有关漏洞 ( CVE-2024-36522 ) 的安全公告，该漏洞影响广泛使用的 Java Web 应用程序框架 Apache Wicket。该漏洞源于 XSLTReso...

07月14日69 views评论

阅读全文

安全漏洞

Apache Wicket XSLT代码执行漏洞

0x00 漏洞编号CVE-2024-365220x01 危险等级高危0x02 漏洞概述Apache Wicket是一个Java语言的Web开发框架。0x03 漏洞详情CVE-2024-36522漏洞类...

06月12日98 views评论

阅读全文

安全漏洞

【漏洞预警】Apache Wicket XSLT 代码执行漏洞（CVE-2024-36522）

漏洞描述:ApacheWicket是一个Java语言的Web开发框架,2024年6月,官方发布9.18.0与10.1.0版本修复CVE-2024-36522 Apache Wicket XSLT 代码...

06月05日125 views评论

阅读全文

安全文章

XML 相关漏洞风险研究

前言经常看到有关 XXE 的漏洞分析，大概知道原理，但是对 XML 中相关的定义却一知半解。XEE 全称为 XML External Entity 即 XML 外部实体，但除了常见的 EXP 还有哪些...

06月03日20 views评论

阅读全文

安全漏洞

CVE-2022-47966 SAML RCE

简介SAML（安全断言标记语言）和 OIDC（OpenID Connect）是两个主要的SSO（单点登录）标准。OIDC使用率更广SAML主要用于企业组织对员工的身份验证。SAML依靠XMLSigna...

05月19日31 views评论

阅读全文

在线咨询

微信