【漏洞公告】CVE-2017-2824:Zabbix远程代码执行漏洞和数据库写入高危漏洞 - 安全公告和技术
近期,开源网络监控软件zabbix被披露存在两个高危
漏洞。通过这两个高危
漏洞,攻击者可以直接远程代码执行并向数据库写入任何数据,带来数据泄露风险。
漏洞详情见下文。
漏洞编号CVE-2017-2824
漏洞名称Zabbix Server ...
【漏洞公告】CVE-2016-5195:“脏牛(Dirty Cow)”漏洞-Linux 内核本地提权漏洞 通告及修复 - 安全公告和技术
漏洞编号CVE-2016-5195
漏洞名称脏牛(Dirty COW)官方定级高危
漏洞危害黑客通过远程入侵获取低权限用户后,利用该
漏洞在全版本Linux系统服务器上实现本地提权,从而获取到服务器root权限。
漏洞利用条件黑客通过远程入侵获取低权限 ...
【漏洞公告】CVE-2014-6271:Linux Bash远程可执行漏洞 - 安全公告和技术
CGI服务或其他地方引用Bash时,也可直接导致远程命令执行
漏洞。主要受影响系统为Ubuntu、Centos、Debian、Suse、Readhat等主流Linux操作系统。
漏洞危害主要影响基于bash开放的服务、程序。当
网站利用CGI执行bash后可 ...
【漏洞公告】CVE-2017-5941:Node.js反序列化远程代码执行漏洞 - 安全公告和技术
.js全版本受影响
漏洞修复建议(或缓解措施)厂商尚未提供
漏洞
修补方案,请关注厂商主页及时更新。临时解决方案:修改/node_modules/node-serialize/lib/serialize.js中的FUNCFLAG值为随机值,并保证该值不 ...
【漏洞公告】CVE-2017-15535:MongoDB内存破坏漏洞 - 安全公告和技术
。由于在2017年上半年,MongoDB多次成为黑客的数据勒索对象,为了业务安全,阿里云安全提示您关注MongoDB
漏洞,及时
修补
漏洞,防止发生数据被删除等严重影响业务稳定性的安全事件。
漏洞详情见下文。
漏洞编号CVE-2017-15535
漏洞 ...
【安全漏洞通告及解决方案】【EDAS K8s 集群】关于 Apache Tomcat AJP 漏洞(2020年02月24日) - 企业级分布式应用服务 EDAS
。 如果不存在,表示该
漏洞
修补成功 ...
【安全漏洞公告】Intel处理器Meltdown和Spectre安全漏洞公告 - 安全公告和技术
造成一定程度的性能影响。该
漏洞只能通过本地提权操作才能获取敏感信息,为了确保业务的稳定性,请用户根据自身业务情况决定是否需要升级修复
漏洞。
修补前请做好业务验证及必要的数据备份。情报来源:Google披露攻击细节:https://security ...
【漏洞公告】Wordpress <= 4.9.6 任意文件删除漏洞 - 安全公告和技术
WordPress是如今使用最为广泛的一套内容管理系统。根据 w3tech 统计,全世界大概有30%的
网站运行着WordPress程序。6月26日,RIPS团队公开了一个Wordpress的任意文件删除
漏洞(需要登录),目前该
漏洞仍然未修复(2018年 ...
【漏洞公告】CVE-2018-7600:Drupal内核远程代码执行漏洞 - 安全公告和技术
2018年3月28日,Drupal官方发布新补丁和安全公告,宣称Drupal 6,7,8等多个子版本存在远程代码执行
漏洞,攻击者可以利用Drupal
网站
漏洞,执行恶意代码,导致
网站被完全控制。
漏洞详情见下文。
漏洞编号CVE-2018-7600 ...
【漏洞公告】Windows SMBv3远程拒绝服务0day漏洞 - 安全公告和技术
北京时间2月2日,国外技术
网站Github曝光了Windows SMBv3存在远程攻击0day
漏洞。根据已公开的
漏洞验证代码(POC),攻击者可以模拟成一个SMB服务器,诱使客户端发起SMB请求来触发
漏洞。攻击者也可以通过中间人方式“毒化 ...
【漏洞公告】PHPCMS前台任意文件上传漏洞 - 安全公告和技术
2017年4月10日,PHPCMS暴露了一个高危
漏洞。该
漏洞可以通过前台页面直接上传任意文件,从而获取到
网站的管理权限。该
漏洞的POC已经公开,风险极高。
漏洞详情见下文。
漏洞编号暂无
漏洞名称PHPCMS前台任意文件上传
漏洞官方评级高危 ...
【漏洞公告】Dedecms变量覆盖漏洞 - 安全公告和技术
漏洞描述Dedecms低版本存在一个变量覆盖
漏洞,
漏洞文件位于plus\myta_js.php。攻击者可以提交变量,覆盖数据库连接配置的全局变量,从而使被攻击的
网站反向连接攻击者指定的数据库,读取指定的内容,并在被攻击的
网站中直接写入WebShell。
漏洞危害恶意黑客可以通过网络公开的利用工具,直接上传
网站后门,入侵
网站。修复方案通过官方途径,将DedeCMS升级至最新版本。 ...
【漏洞公告】Dedecms 变量覆盖漏洞 - 安全公告和技术
任意文件到指定目录。利用该
漏洞的前提是register_globals=on,即允许通过自定义表单为相关的变量赋值。
漏洞危害攻击者可以通过网络公开的利用工具,直接上传
网站后门,入侵
网站。修复方案通过官方途径,将DedeCMS升级至最新版本。 ...
【漏洞公告】Spring 框架及组件多个安全漏洞 - 安全公告和技术
2018年5月8日,阿里云云盾应急响应中心监测到Spring官方发布3个严重,2个高危
漏洞,
漏洞涉及Spring Messaging组件,Spring Security框架,Spring Data 框架等多个模块,攻击者可利用该
漏洞实施远程代码执行攻击 ...
【漏洞公告】procps-ng 本地提权漏洞 - 安全公告和技术
2018年5月25日,阿里云云盾应急响应中心监测Qualys安全实验室审计procps-ng发现多个
漏洞。procps-ng 是一系列命令行工具(包含top,ps,w等)用于浏览procfs,是内核为了披露进程表中的信息而生成的伪文件系统。其中CVE ...
【漏洞公告】WordPress存储型XSS漏洞 - 安全公告和技术
2017年10月19日,WordPress官方发布了一条安全通告,表示在4.8.1版本中发现了一个存储型的XSS
漏洞。通过该
漏洞,攻击者可以在受影响
网站的评论区写下包含恶意代码的留言,当该留言页面被打开时,其中的恶意代码会被执行,导致该
网站的权限,插件等 ...
【漏洞公告】FFmpeg本地文件任意读取漏洞 - 安全公告和技术
视频转换
网站的本地文件。例如,查看/etc/passwd文件内容,从而导致敏感数据信息泄露。
漏洞利用条件和方式远程利用
漏洞影响范围FFmpeg 2.6.8FFmpeg 3.2.2FFmpeg 3.2.5
漏洞检测确认是否使用了受影响版本。
漏洞 ...
【漏洞公告】Windows SMBv3远程拒绝服务0day漏洞 - 安全公告和技术
北京时间2月2日,国外技术
网站Github曝光了Windows SMBv3存在远程攻击0day
漏洞。根据已公开的
漏洞验证代码(POC),攻击者可以模拟成一个SMB服务器,诱使客户端发起SMB请求来触发
漏洞。攻击者也可以通过中间人方式“毒化 ...
【漏洞公告】WordPress REST API内容注入/权限提升漏洞 - 安全公告和技术
见下文。
漏洞编号暂无官方评级高危
漏洞描述WordPress在4.7.0及后期版本中集成了原REST API插件的功能,并默认启用。当您使用非Plain模式,在WordPress程序的
网站首页上会出现:link rel="https ...
【漏洞公告】Dedecms变量覆盖漏洞 - 安全公告和技术
漏洞描述Dedecms低版本存在一个变量覆盖
漏洞,
漏洞文件位于plus\myta_js.php。攻击者可以提交变量,覆盖数据库连接配置的全局变量,从而使被攻击的
网站反向连接攻击者指定的数据库,读取指定的内容,并在被攻击的
网站中直接写入WebShell。
漏洞危害恶意黑客可以通过网络公开的利用工具,直接上传
网站后门,入侵
网站。修复方案通过官方途径,将DedeCMS升级至最新版本。 ...
【漏洞公告】Dedecms 变量覆盖漏洞 - 安全公告和技术
任意文件到指定目录。利用该
漏洞的前提是register_globals=on,即允许通过自定义表单为相关的变量赋值。
漏洞危害攻击者可以通过网络公开的利用工具,直接上传
网站后门,入侵
网站。修复方案通过官方途径,将DedeCMS升级至最新版本。 ...
【漏洞公告】Spring 框架及组件多个安全漏洞 - 安全公告和技术
2018年5月8日,阿里云云盾应急响应中心监测到Spring官方发布3个严重,2个高危
漏洞,
漏洞涉及Spring Messaging组件,Spring Security框架,Spring Data 框架等多个模块,攻击者可利用该
漏洞实施远程代码执行攻击 ...
【漏洞公告】procps-ng 本地提权漏洞 - 安全公告和技术
2018年5月25日,阿里云云盾应急响应中心监测Qualys安全实验室审计procps-ng发现多个
漏洞。procps-ng 是一系列命令行工具(包含top,ps,w等)用于浏览procfs,是内核为了披露进程表中的信息而生成的伪文件系统。其中CVE ...
【漏洞公告】“Phoenix Talon” Linux 内核漏洞 - 安全公告和技术
近期,Linux内核曝出名为“Phoenix Talon”的一系列远程执行
漏洞,其中一个
漏洞为严重(Critical)级别,另外三个为高危(High)。这四个
漏洞的影响范围包括所有Linux kernel 2.5.69 ...
【漏洞公告】FineCMS SQL注入漏洞 - 安全公告和技术
漏洞描述FineCMS 系统对部分参数过滤不严,导致攻击者可以构造恶意请求,对
网站实行 SQL 注入攻击,进而盗取
网站数据或进一步入侵服务器。受影响范围Zabbix 2.2.xZabbix 3.0.0 - 3.0.3修复方案云盾 Web 应用 ...
【漏洞公告】NTP DOS多处漏洞 - 安全公告和技术
2016年11月21日,NTF的Network Time Protocol (NTP)项目发布了ntp-4.2.8p9版本。此次更新修复了10个
漏洞,其中1个高危,2个中危,2个中低危,5个低危;其中部分
漏洞可以造成远程拒绝服务。
漏洞详情见下文 ...
【漏洞公告】Spring Framework多个CVE漏洞预警 - 安全公告和技术
2018年4月5日,Spring官方宣布在Spring Framework 5.0.5 和 4.3.15 修复了3个CVE
漏洞(CVE-2018-1270,CVE-2018-1271,CVE-2018-1272)。其中CVE-2018-1270为远程代码 ...
【漏洞公告】CVE-2018-2562-2591:MySQL多个安全漏洞 - 安全公告和技术
美国时间2017年12月16日,Oracle官方发布安全公告。该次公告修复MySQL服务25个安全
漏洞,在这些安全
漏洞中,影响较大的CVE-2018-2696
漏洞,它可以在无需认证的条件下,被远程利用发动拒绝服务攻击。本次安全公告披露的安全
漏洞数量较多 ...
【漏洞公告】CVE-2018-1305/1304:Apache Tomcat安全机制绕过漏洞 - 安全公告和技术
2018年2月23日,Apache发布安全公告。公告显示Apache Tomcat 7、8、9存在安全绕过
漏洞,CVE编号CVE-2018-1305、CVE-2018-1304。攻击者可以利用这个问题,绕过某些安全限制,来执行未经授权的操作。由于 ...
【漏洞公告】CVE-2017-8620:Windows Search 远程代码执行漏洞 - 安全公告和技术
2017年8月8日,微软官方在例行补丁日发布编号为CVE-2017-8620的
漏洞公告。攻击者利用该
漏洞在目标系统执行任意代码,发动拒绝服务攻击,安全风险为高危。
漏洞详情见下文。
漏洞编号: CVE-2017-8620
漏洞名称: Windows ...
【漏洞公告】CVE-2017-5638:基于 Jakarta plugin插件的Struts远程代码执行漏洞(S2-045) - 安全公告和技术
2017年3月6日,Apache Struts 2被曝存在远程命令执行
漏洞,
漏洞编号为S2-045,CVE编号为CVE-2017-5638。在使用基于Jakarta插件的文件上传功能时,有可能存在远程命令执行,导致系统被黑客入侵。
漏洞详情见下文 ...
【漏洞公告】Struts devMode 远程命令执行漏洞 - 安全公告和技术
修复方案使用云盾 Web 应用防火墙 拦截此
漏洞的攻击代码。通过 官方
网站,将 Struts 升级到 2.5.1 或更高版本。 ...
【漏洞公告】FineCMS前台tx参数存在代码执行漏洞 - 安全公告和技术
2017年7月31日,CNVD发布关于Finecms的安全
漏洞通告。FineCMS 5.0.7版本前台tx参数存在代码执行
漏洞。远程攻击者无需登录即可执行任意代码,从而获取服务器权限,安全风险较高。
漏洞详情见下文。
漏洞编号CNVD-2017 ...
【漏洞公告】CVE-2017-11610:Supervisord 远程命令执行漏洞 - 安全公告和技术
Supervisord是一款用Python语言开发的管理后台应用(服务)的工具,方便运维人员使用图形化界面进行管理。近期,Supervisord曝出了一个需认证的远程命令执行
漏洞(CVE-2017-11610)。通过POST请求向Supervisord ...
- 产品推荐
- 这些文档可能帮助您