阿里云搜索结果产品模块_联系我们

任意文件下载漏洞

漏洞描述一些网站由于业务需求,可能提供文件查看或下载功能。如果对用户查看或下载的文件不做限制,则恶意用户能够查看或下载任意文件,可以是源代码文件、敏感文件等。攻击者可构造恶意请求下载服务器上的敏感文件...
来自: 阿里云 >帮助文档

漏洞公告】Elasticsearch 任意文件读取漏洞

漏洞描述Elasticsearch 是一个基于 Lucene 的搜索服务,它提供了 RESTful web 接口的分布式、多用户全文搜索引擎 Elasticsearch 是用 Java 开发的,并作为 Apache 许可条款下的开放源码发布,是第二大最流行的企业...
来自: 阿里云 >帮助文档

漏洞公告】WDCP 弱口令漏洞

漏洞描述WDCP 是一款流行的主机管理系统。如果 WDCP 的登录口令过于简单,则攻击者可以轻易破解它,并利用其登录到系统,进一步入侵主机。修复方案 设置复杂的登录口令。
来自: 阿里云 >帮助文档

漏洞公告】ECMall SQL二次注入漏洞

漏洞描述Ecmall是一款多用户商城系统,其20140618版本由于过滤不严,存在SQL二次注入漏洞。在app/cart.app.php 中,出库后goods_name没转义,导致二次注入。修复方案在addslashes()函数指定的预定义字符前添加反斜杠...
来自: 阿里云 >帮助文档

漏洞公告】Samba 远程命令执行漏洞

漏洞描述Samba 是 SMB/CIFS 网络协议的免费软件实施。它为各种 Microsoft Windows 客户端提供文件和打印服务,并可以与 Microsoft Windows Server 域进行集成。Samba 中存在一个远程代码执行漏洞,攻击者可以通过...
来自: 阿里云 >帮助文档

漏洞公告】OpenSSH SFTP 远程溢出漏洞

漏洞描述Linux 用户常用 OpenSSH 中的 SFTP 来进行上传和下载。但是,OpenSSH SFTP 存在远程溢出漏洞。如果 OpenSSH 服务器中没有配置ChrootDirectory,普通用户就可以访问所有文件系统的资源,包括/proc。而在 2.6....
来自: 阿里云 >帮助文档

漏洞公告】CmsEasy arcget 函数 SQL 注入漏洞

漏洞描述CmsEasy 是一款基于 PHP+MySQL 架构的网站内容管理系统,也是一个 PHP 开发平台。CmsEasy 对部分参数过滤不严,导致攻击者可构造恶意请求,对网站实行 SQL 注入攻击,进而盗取网站数据,甚至入侵服务器。...
来自: 阿里云 >帮助文档

漏洞公告】GlassFish 任意文件读取漏洞

漏洞描述GlassFish 是一款用于构建 Java EE 的应用服务组件,允许开发人员创建可移植且可伸缩的企业应用程序,并与传统技术集成。GlassFish 存在通用任意文件读取漏洞。利用该漏洞,攻击者可读取服务器上任意文件。...
来自: 阿里云 >帮助文档

漏洞公告】Resin 目录遍历漏洞

漏洞描述Resin 是一款支持 Java EE 标准和 Quercus 引擎的 Web 服务器和 Java 应用程序服务器。低版本的 Resin 由于代码不严谨,可以被攻击者利用,来读取服务器上任意文件。修复方案通过官网,下载并使用最新的 ...
来自: 阿里云 >帮助文档

漏洞公告】Discuz uc.key 泄露导致代码注入漏洞

文件存在代码写入漏洞,导致黑客可写入恶意代码获取 uckey,最终进入网站后台,造成数据泄漏。修复方案 使用云盾安骑士企业版的 Web-CMS 漏洞管理功能,一键修复该漏洞。安骑士可以修改存在漏洞的代码,彻底杜绝该...
来自: 阿里云 >帮助文档

漏洞公告】ProFTPD 未授权文件复制漏洞

漏洞描述ProFTPD 是一套开源的 FTP 服务器软件,与类似 Unix 系统和 Microsoft Windows 系统兼容。ProFTPD 软件存在未授权文件复制漏洞,FTP 登录状态下的用户可越权复制其他目录下文件。受影响范围ProFTPD修复方案 ...
来自: 阿里云 >帮助文档

漏洞公告】PostgreSQL 弱口令漏洞

在使用过程中可能出现的弱口令漏洞,提供一系列修复方案,供您参考使用。修复方案 禁止 PostgreSQL 以 root 权限运行,建议使用独立账号运行。adduser dbusersudo su-dbuser 修改数据库账号为强密码。例如, alter ...
来自: 阿里云 >帮助文档

漏洞公告】08CMS 存在变量覆盖漏洞

漏洞描述08CMS 的 ptool.php 中某个参数未被初始化,导致其可以被恶意利用。攻击者通过构造请求可以在网站中执行 PHP 命令。影响版本4.1 以前版本。修复方案从官方网站中获取并安装 08CMS 最新版本。
来自: 阿里云 >帮助文档

漏洞公告】微擎多个SQL注入漏洞

漏洞描述微擎 v0.7 对部分参数过滤不严,导致攻击者可构造恶意请求,对网站实行 SQL 注入攻击,进而盗取网站数据或进一步入侵服务器。影响范围微擎 v0.7 修复方案 使用云盾Web应用防火墙拦截此漏洞的攻击代码。关注...
来自: 阿里云 >帮助文档

漏洞公告】Struts 2 远程命令执行漏洞

漏洞描述Apache Struts 是一个免费的开源 MVC 框架,用于创建 Java Web 应用程序。在 Struts 2 开启动态方法调用(Dynamic Method Invocation)的情况下,攻击者可借助...通过 官方网站,将 Struts 升级到 2.5 或以上。
来自: 阿里云 >帮助文档

漏洞公告】ECshop 前台任意用户登录漏洞

漏洞描述ECshop 是一款 B2C 独立网店系统,适合企业及个人快速构建个性化网上商店。该系统是基于 PHP + MySQL 构架开发的跨平台开源程序。Ecshop 前台存在任意用户登录漏洞,有可能带来用户信息被窃取及非法篡改等...
来自: 阿里云 >帮助文档

漏洞公告】WordPress 插件 bbPress 存储型 XSS 漏洞

漏洞描述bbPress 是一款广受欢迎的 WordPress 插件,它为 WordPress 博客提供了论坛功能。bbPress 官方披露了一处存储型 XSS 漏洞。攻击者可利用该漏洞盗取访客或管理员的身份信息,进行未授权操作等恶意行为。影响...
来自: 阿里云 >帮助文档

漏洞公告】WordPress 插件 WP Symposium 文件上传...

该插件存在一个严重的安全漏洞,可以导致黑客上传恶意文件,植入网站后门并进一步入侵服务器主机。受影响版本WP Symposium修复方案进入 Wordpress 管理后台,将 WP Symposium 插件更新至最新版本。
来自: 阿里云 >帮助文档

漏洞公告】git 配置文件泄露漏洞

漏洞描述git 是一套代码管理系统,其 git 信息存放在代码根目录下.git 文件夹。攻击者可以通过遍历网站目录探测.git 文件夹,并尝试从中获取敏感信息。修复方案在不影响代码运行的情况下,删除线上代码中的.git 目录...
来自: 阿里云 >帮助文档

漏洞公告】Struts devMode 远程命令执行漏洞

漏洞描述Apache Struts 是一个免费的开源 MVC 框架,用于创建 Java Web 应用程序。在 Struts 2 开启 devMode 的情况下,攻击者可构造恶意代码,远程执行任意命令...通过 官方网站,将 Struts 升级到 2.5.1 或更高版本。
来自: 阿里云 >帮助文档

漏洞公告】ShopNC wxpay.php 后门文件漏洞

漏洞描述ShopNC 是一款适用于搭建 C2C 电商运营服务平台的商城系统。ShopNC 的 wxpay.php 中存在后门代码,黑客可直接访问此文件在网站上生成 Webshell,导致网站被入侵。修复方案删除后门文件 wxpay.php。
来自: 阿里云 >帮助文档

漏洞公告】SVN 配置文件泄露漏洞

漏洞描述Apache Subversion(SVN)是一个开源的软件版本控制和校订系统。在 SVN 代码的根目录下有存放 SVN 信息的文件夹.svn 攻击者可以通过遍历网站目录探测到.svn 文件夹,并从中获取敏感信息。修复方案在不影响...
来自: 阿里云 >帮助文档

漏洞公告】Zabbix jsrpc.php SQL 注入漏洞

漏洞描述Zabbix 是一款面向网络和应用的企业级开源监控软件。Zabbix jsrpc.php 文件中的 profileIdx2 函数对部分参数过滤不严,导致攻击者可构造恶意请求,使用 Zabbix 中的 Guest 账号权限对网站实行 SQL 注入攻击...
来自: 阿里云 >帮助文档

漏洞公告】WordPress DoS拒绝服务漏洞

漏洞描述WordPress没有限制xml中的参数数量,导致攻击者可以远程注入恶意xml,直接对目标服务器造成拒绝服务攻击。影响范围 WordPress 3.9.x-3.9.1 WordPress 3.8.x-3.8.3 WordPress 3.7.x-3.7.3 WordPress 3.6.x ...
来自: 阿里云 >帮助文档

漏洞公告】WordPress 插件 Slider Revolution 任意...

漏洞描述Slider Revolution Premium 是一款 WordPress 插件,它存在一个严重的安全漏洞,可以导致黑客远程下载服务器上任意文件。攻击者可构造恶意请求下载服务器上的敏感文件,进而植入网站后门控制网站服务器主机...
来自: 阿里云 >帮助文档

漏洞公告】SSL 3.0 安全漏洞

漏洞描述SSL 3.0 版本当中的安全隐患,和此前的心脏出血漏洞机制类似,允许黑客使用特殊的手段,从 SSL 3.0 覆盖的安全连接下提取到一定字节长度的隐私信息。SSL 3.0 已经存在 15 年之久,目前绝大多数浏览器都支持...
来自: 阿里云 >帮助文档

漏洞公告】Apache Solr 平台泄露漏洞

漏洞描述Apache Solr 是一个开源的搜索服务器。该平台允许匿名访问,攻击者可读取平台中各类敏感信息。修复方案将 Solr 存放在特殊目录下,或限制只允许部分 IP 访问该服务。注意:为避免数丢失,升级前请做好备份,...
来自: 阿里云 >帮助文档

漏洞公告】CVE-2016-3714:ImageMagick远程代码执行...

漏洞描述 ImageMagick是一款广泛应用的图像处理软件。近日,该软件被爆出存在远程代码执行漏洞,编号为CVE-2016–3714。此漏洞允许攻击者通过上传恶意构造的图像文件,在目标服务器执行任意代码。由于ImageMagick...
来自: 阿里云 >帮助文档

漏洞公告】XAMPP WEBDAV 文件上传漏洞

漏洞描述XAMPP 是由 Apache Friends 开发的,免费开源的跨平台 Web 服务器解决方案堆栈包;XAMPP 代表跨平台(X),Apache(A),MariaDB(M),PHP(P)和 Perl(P)。它是一个简单轻量级的 Apache 发行版,使开发...
来自: 阿里云 >帮助文档

漏洞公告】Java Spring Boot 框架远程命令执行漏洞

漏洞描述Spring Boot 是一个轻量级框架,它大大简化了基于 Spring 的应用程序的配置工作。但是,有安全专家披露,在未对 Spring Boot 的异常进行自定义处理...通过 官方网站,将 Spring Boot 升级到 1.3.1 或更高版本。
来自: 阿里云 >帮助文档

漏洞公告】XAMPP 目录遍历漏洞

漏洞描述XAMPP 是由 Apache Friends 开发的,免费开源的跨平台 Web 服务器解决方案堆栈包;XAMPP 代表跨平台(X),Apache(A),MariaDB(M),PHP(P)和 Perl(P)。它是一个简单轻量级的 Apache 发行版,使开发...
来自: 阿里云 >帮助文档

漏洞公告】ImageMagick 和 GraphicsMagick popen ...

漏洞描述ImageMagick 和 GraphicsMagick 是广泛流行的图像处理软件。ImageMagick 披露存在远程代码执行漏洞,同时受影响的软件还包括 GraphicsMagick。此漏洞允许攻击者通过上传恶意构造的图像文件,在目标服务器...
来自: 阿里云 >帮助文档

漏洞公告】Memcached 未授权访问导致 Discuz!...

漏洞描述Memcached 是一个通用的分布式内存缓存系统。若 Discuz!中配置了 Memcached 作为缓存服务,同时 Memcached 可被外部访问,则黑客可借助 Memcached 服务对 Discuz!网站进行入侵。受影响范围Discuz!中配置了 ...
来自: 阿里云 >帮助文档

漏洞公告】Hudson 任意文件读取漏洞

漏洞描述 Hudson 是用 Java 编写的持续集成(CI)工具,它运行在 Apache Tomcat 或 GlassFish 应用程序服务器等 servlet 容器中。Hudson 允许匿名访问,导致攻击者可读取平台中所有项目代码。修复方案将 Hudson 改为...
来自: 阿里云 >帮助文档

漏洞公告】CVE-2014-6271:Linux Bash远程可执行...

2014年9月24日,Linux操作系统自带软件Bash爆出了一个高危漏洞-Bash远程命令执行漏洞,CVE编号为:CVE-2014-6271。...当网站利用CGI执行bash后可导致攻击者远程执行系统命令,从而利用系统命令反弹shell之后进行内网渗透...
来自: 阿里云 >帮助文档

漏洞公告】WordPress 插件 Wordpress DB Backup ...

漏洞描述Wordpress DB Backup 插件存在一个严重的安全漏洞,可以导致黑客远程下载服务器上任意文件。攻击者可构造恶意请求,下载服务器上的敏感文件,进而植入网站后门控制网站服务器主机。受影响版本 Wordpress DB ...
来自: 阿里云 >帮助文档

漏洞公告】Joomla 反序列化远程命令执行漏洞

漏洞描述Joomla 是一个免费的开源内容管理系统(CMS),用于发布...该漏洞可被黑客利用来入侵网站。修复方案在 Joomla 后台,将程序升级至最新版本。注意:为避免数丢失,升级前请做好备份,或为 ECS 建立硬盘快照。
来自: 阿里云 >帮助文档

漏洞公告】MongoDB BSON 远程拒绝服务漏洞

漏洞描述MongoDB服务端无法验证一些畸形的BSON用例,导致预认证出现故障。畸形的BSON消息可以在服务端触发异常,导致服务宕机。影响范围MongoDB 2.4.12,2.6.7,3.0.0-rc8 修补方案MongoDB官网已发布补丁,补丁下载...
来自: 阿里云 >帮助文档

漏洞公告】ImageMagick 和 GraphicsMagick popen ...

漏洞描述ImageMagick 和 GraphicsMagick 是广泛流行的图像处理软件。ImageMagick 被披露存在远程代码执行漏洞,同时受影响的软件还包括 GraphicsMagick。此漏洞允许攻击者通过上传恶意构造的图像文件,在目标服务器...
来自: 阿里云 >帮助文档

漏洞公告】Wordpress 插件 Ajax Store Locator 任意...

漏洞描述Ajax Store Locator 是一款 Wordpress 插件。Ajax Store Locator 存在一个严重的安全漏洞,可以导致黑客远程下载服务器...攻击者可构造恶意请求下载服务器上的敏感文件,进而植入网站后门控制网站服务器主机。...
来自: 阿里云 >帮助文档

漏洞公告】Discuz!X 系列转换工具代码执行漏洞

漏洞描述Discuz!X 的插件/utility/convert/index.php 存在代码执行漏洞。若用户没有及时更新或删除插件,攻击者可通过该程序直接执行任意代码,植入网站后门。修复方案 更新 Discuz!X 至最新版本。移除 Discuz!X ...
来自: 阿里云 >帮助文档

漏洞公告】Java web.xml 信息泄漏漏洞

漏洞描述Java 应用中的 web.xml 所在目录 WEB-INF 因配置不当,可被外部用户读取,造成网站配置信息泄露。修复方案重新配置 WEB-INF 目录的权限。注意:在修改前请做好备份,或为 ECS 建立硬盘快照。
来自: 阿里云 >帮助文档

漏洞公告】CVE-2014-4877:Wget FTP软链接攻击漏洞

漏洞描述 wget被发现存在CVE编号为CVE-2014-4877的安全漏洞。当wget在用于递归下载FTP站点时,攻击者可通过构造恶意的符号链接文件触发该漏洞,从而在wget用户的系统中创建任意文件、目录或符号链接并设置访问权限。...
来自: 阿里云 >帮助文档

漏洞公告】CVE-2014-3883:Webmin Usermin远程命令...

漏洞描述 Webmin是Unix系统管理Web接口,通过任一浏览器都可设置用户账户、Apache、DNS、文件共享及其他。Webmin 1.600之前版本存在远程命令注入漏洞,攻击者可利用此漏洞在受影响应用上下文中执行任意OS命令。漏洞...
来自: 阿里云 >帮助文档

漏洞公告】Struts s2-037 远程命令执行漏洞

漏洞描述Struts2 在使用 REST 插件的情况下,攻击者可构造恶意代码,远程执行任意命令。影响范围Struts 2.3.20-2.3.28.1 修复方案 使用云盾Web应用防火墙拦截此漏洞的攻击代码。通过官方途径,将 Struts 版本升级到 ...
来自: 阿里云 >帮助文档

漏洞公告】Discuz!7.2 faq.php SQL 注入漏洞

漏洞描述Discuz!...它是在中国最受欢迎的互联网论坛软件。...7.2 的 faq.php 中存在 SQL 注入漏洞,黑客可以利用此漏洞直接在网站上生成 webshell。影响版本Discuz!7.2 修复方案尽快从官方渠道升级 Discuz!至最新版本。
来自: 阿里云 >帮助文档

漏洞公告】帝国备份王(empirebak)存在任意登录漏洞

漏洞描述帝国备份王(EmpireBak)是一款开源免费的数据库备份软件,主要用于 MySQL 大数据备份与导入。该软件登录界面存在设计缺陷,用户无需账号密码即可登录后台,导致其可以被外部黑客入侵。修复方案 目前,帝国...
来自: 阿里云 >帮助文档

漏洞公告】WebDAV 启用目录写权限漏洞

漏洞描述WebDA 是超文本传输协议(HTTP)的扩展,它允许客户端执行远程 Web 内容授权操作。WebDA 功能默认为目标目录启用了写权限。恶意攻击者可以通过 HTTP 协议的 PUT 方法,向目录写入任意文件,或以指定的内容...
来自: 阿里云 >帮助文档

漏洞公告】Docker Remote API 未授权访问漏洞

漏洞描述Docker 是一个开源的应用容器引擎,允许开发者将其应用和依赖包打包到一个可移植的容器中,并发布到任何流行的 Linux 机器上,以实现虚拟化。Docker 的 Remote API 因配置不当可以未经授权进行访问,从而被...
来自: 阿里云 >帮助文档

DNS 区域传送漏洞

漏洞描述一般情况下,DNS 区域传送只在网络里存在备用 DNS 服务器时才会使用;但许多 DNS 服务器却被错误地配置,只要有客户机发出请求,就会向对方提供一个 zone 数据库的详细信息。因此,不受信任的因特网用户也...
来自: 阿里云 >帮助文档
< 1 2 3 4 5 >
共有5页 跳转至: GO

新品推荐

你可能感兴趣

热门推荐

2020阿里巴巴研发效能峰会
阿里云搜索结果产品模块_联系我们