博客家
CVE-2021-38297 - Go Web Assembly漏洞分析

CVE-2021-38297 - Go Web Assembly漏洞分析
2022年8月30日

JFrog安全研究团队持续监控开源软件(OSS)中报告的漏洞,以帮助我们的客户和更广泛的社区了解潜在的软件供应链安全威胁及其影响。在这样做的过程中,我们经常注意到值得强调的重要趋势和关键经验。以下是对在…中发现的漏洞的分析

阅读更多
Fastjson RCE漏洞响应

CVE-2022-25845 - Fastjson“自动类型绕过”RCE漏洞分析
2022年6月14日

几周前,Fastjson发布了一个新版本(1.2.83),它修复了一个据称允许攻击者在远程机器上执行代码的安全漏洞。根据一些出版物,该漏洞允许攻击者绕过Fastjson中的“AutoTypeCheck”机制并实现远程代码执行。这个Fastjson…

阅读更多
JNDI - H2数据库控制台中未经身份验证的RCE

CVE-2022-21449“心灵签名”:分析新的Java加密漏洞
2022年4月21日

几天前,安全研究员Neil Madden发表了一篇博客文章,其中他提供了一个新发现的Java漏洞CVE-2022-21449或“心灵签名”的细节。此安全漏洞源于Java 15中引入的ECDSA签名验证算法的不正确实现。此漏洞允许攻击者潜在地拦截通信…

阅读更多
SpringShell“Spring4Shell”零日漏洞

SpringShell (Spring4Shell)零日漏洞CVE-2022-22965:所有你需要知道的
2022年3月31日

3月29日,cyberkendra安全博客发布了一篇关于Spring框架中log4shell等效远程代码执行(RCE)零日漏洞的轰动文章,但没有任何关于漏洞本身的可靠细节。这个安全漏洞被昵称为“SpringShell”(或“Spring4Shell”),因为据称它的重要性与臭名昭著的“Log4Shell”相似。一天后,三月……

阅读更多
DirtyPipe

dirtypype (CVE-2022-0847) -新的DirtyCoW?
2022年3月9日

几天前,安全研究员Max Kellermann发布了一个名为DirtyPipe的漏洞,其编号为CVE-2022-0847。这个漏洞影响Linux内核,如果被利用,可以允许本地攻击者获得根权限。该漏洞受到了媒体的广泛关注,因为它影响了所有基于linux的5.8或更高内核的系统,没有…

阅读更多
关键Samba漏洞

CVE-2021-44142:严重的Samba漏洞允许远程代码执行
2022年2月8日

最近,在4.13.17之前的Samba版本中披露了一个严重的越界漏洞,分配为CVE-2021-44142。Samba漏洞携带9.9的关键CVSS,并允许攻击者在运行具有易受攻击配置的Samba服务器的机器上远程执行代码。该漏洞是Pwn2Own奥斯汀竞赛的一部分,研究人员……

阅读更多
CVE-2022-0185 Linux内核漏洞

CVE-2022-0185 Linux内核漏洞对Kubernetes主流引擎的影响
2022年2月1日

上周,一个被确定为CVE-2022-0185的严重漏洞被披露,影响Linux内核版本5.1到5.16.1。安全漏洞是Filesystem Context模块中的整数下流,允许本地攻击者在内核上下文中运行任意代码,从而导致特权升级、容器环境逃逸或拒绝…

阅读更多

受欢迎的标签