-
关于Spring Framework身份认证绕过漏洞的预警通报
Spring Framework组件存在身份认证绕过漏洞,漏洞编号:CVE-2023-20860,漏洞威胁等级:高危。该漏洞是由于Spring Security使用mvcRequestMatcher配置并将"**"作为匹配模式时,Spring Security和Spring MVC对匹配模式的处理存......
发布时间:2023-05-13 阅读(990)
-
关于Apache Commons BCEL越界写入漏洞的预警通告
Apache Commons BCEL 组件存在越界写入漏洞(CVE-2022-42920)。该漏洞是由于 Apache Commons BCEL在6.6.0之前的版本中ConstantPoolGen类没有对写入常量池的常量数量进行限制导致越界写入。ApacheCommons BCEL中有很多API,通常只允许更改特定......
发布时间:2022-11-21 阅读(1071)
-
关于Apache Tomcat HTTP请求走私漏洞的通报预警
Apache Tomcat组件存在HTTP请求走私漏洞(CVE-2022-42252)。在关闭rejectIllegalHeader的条件下,攻击者可利用该漏洞构造恶意HTTP Header在未授权的情况执行钓鱼攻击。Apache Tomcat是美国阿帕奇(Apache)基金会的一款轻量级Web应用服务器。该程序实现了......
发布时间:2022-11-19 阅读(1290)
-
关于VMware vRealize Operations权限提升漏洞的通报预警
VMware vRealize Operations组件存在权限提升漏洞,漏洞编号:CVE-2022-31672,漏洞威胁等级:高危。该漏洞存在于VMware vRealize Operations Manager generateSupportBundle.py脚本中,攻击者通过构造VCOPS_BASE环境变量并执行......
发布时间:2022-10-12 阅读(1040)
-
关于WebLogic中间件任意命令执行漏洞的预警通报
据有关部门通知,WebLogic中间件存在任意命令执行漏洞,鉴于漏洞影响范围较大,潜在危害程度较高,请各单位及时关注,核查相关软件产品使用情况,在确保安全的前提下及时修补漏洞,消除安全隐患,提高安全防范能力。一、漏洞信息:漏洞名称:WebLogic中间件任意命令执行漏洞影响产品及版本:暂无详细信息漏洞描述:攻击者可以对......
发布时间:2022-08-03 阅读(1256)
-
网络安全审查办法
第一条 为了确保关键信息基础设施供应链安全,保障网络安全和数据安全,维护国家安全,根据《中华人民共和国国家安全法》、《中华人民共和国网络安全法》、《中华人民共和国数据安全法》、《关键信息基础设施安全保护条例》,制定本办法。第二条 关键信息基础设施运营者采购网络产品和服务,网络平台运营者开展数据处理活动,影响或者可能影响......
发布时间:2022-06-11 阅读(1267)
-
关于Java组件fastjson存在反序列化漏洞的预警通报
据国家网络与信息安全信息通报中心监测发现,阿里巴巴公司开源Java开发组件fastjson存在反序列化漏洞。fastjson被众多java软件作为组件集成,广泛存在于java应用的服务端代码中。攻击者可利用上述漏洞实施任意文件写入、服务端请求伪造等攻击行为,造成服务器权限被窃取、敏感信息泄漏等严重影响。此次事件影响fa......
发布时间:2022-05-26 阅读(842)
-
关于Asciidoctor-include-ext命令注入漏洞的预警通报
关于Asciidoctor-include-ext命令注入漏洞的预警通报Asciidoctor-include-ext组件存在命令注入漏洞,漏洞编号:CVE-2022-24803,漏洞威胁等级:严重。该漏洞是由于Asciidoctor-include-ext处理用户输入时存在安全问题,攻击者可利用该漏洞在未授权的情况下......
发布时间:2022-04-25 阅读(1178)
-
关于Windows远程过程调用远程代码执行漏洞的预警通报
关于Windows远程过程调用远程代码执行漏洞的预警通报Microsoft远程过程调用rpcrt4.dll组件存在远程代码执行漏洞,漏洞编号:CVE-2022-26809,漏洞威胁等级:高危。攻击者可利用该漏洞在未授权的情况下,构造恶意数据执行远程代码执行攻击,获取服务器最高权限。Windows远程过程调用(RPC)定......
发布时间:2022-04-25 阅读(862)
-
关于Windows通用日志文件系统本地提权漏洞的预警通报
关于Windows通用日志文件系统本地提权漏洞的预警通报Windows通用日志文件系统存在本地权限提升漏洞,漏洞编号:CVE-2022-24521,漏洞威胁等级:高危。该漏洞是由于类型混淆,攻击者可利用该漏洞在获得权限的情况下,构造恶意数据执行本地提权攻击,最终获取服务器最高权限。Windows通用日志文件系统(CLF......
发布时间:2022-04-25 阅读(988)
-
关于Windows网络文件系统远程代码执行漏洞的预警通报
关于Windows网络文件系统远程代码执行漏洞的预警通报Windows网络文件系统组件存在远程命令执行漏洞,漏洞编号:CVE-2022-24497,漏洞威胁等级:高危。该漏洞是由于对数据包的错误处理导致的内存破坏,攻击者可利用该漏洞在获得权限的情况下,构造恶意数据执行远程命令执行攻击,最终获取服务器最高权限。Windo......
发布时间:2022-04-23 阅读(943)
-
关于Apache Spark命令注入漏洞的预警通报
关于Apache Spark命令注入漏洞的预警通报Apache Spark组件存在命令注入漏洞,漏洞威胁等级:高危。Apache Spark是一种用于大数据工作负载的分布式开源处理系统。它使用内存中缓存和优化的查询执行方式,可针对任何规模的数据进行快速分析查询。它提供使用Java、Scala、Python和R语言的开发......
发布时间:2022-04-22 阅读(1145)