Spring Framework远程代码执行漏洞

一、 漏洞描述Spring官方发布安全公告,披露了一个Spring框架可在JDK>=9版本下实现远程代码执行的漏洞(CVE-2022-22965)。二、 漏洞详情CVE-2022-22965: Spring Framework远程代码执行漏洞CVE: CVE-2022-22965 组件: Spring Framework漏洞类型: 代码问题影响: 远程代码执行简述: 见漏洞描述。 三

查看详细

Linux Polkit权限提升漏洞

一、 漏洞描述pkexec是安装在所有主流Linux发行版上的SUID-root程序,用于授权用户在预定的策略下以其他用户身份执行命令。该漏洞是由于pkexec无法正确处理调用参数计数,导致最终会试图将环境变量作为系统命令执行。攻击者可以通过控制环境变量,从而使得pkexec执行任意命令。成功利用该漏洞,任何非特权的本地用户都可以获取root权限。二、 漏洞详情CVE-2021-4034:

查看详细

多个Log4j 1.x的漏洞

一、 漏洞描述Apache发布安全公告披露了3个Log4j的漏洞,均影响Apache Log4j 1.x版本,且官方不再进行支持维护,请相关用户尽快采取措施进行防护。二、 漏洞详情CVE-2022-23302: Apache log4j JMSSink反序列化代码执行漏洞CVE: CVE-2022-23302 组件: log4j漏洞类型: 代码问题影响: 信息泄露简述: 当攻击者具有修改L

查看详细

Oracle WebLogic Server 信息泄露漏洞

一、 漏洞描述未授权的攻击者可利用 HTTP 协议,通过存在漏洞的 Oracle WebLogic Server组件进行攻击,从而导致关键信息泄露。二、 漏洞详情CVE-2022-21292: Oracle WebLogic Server 信息泄露漏洞CVE: CVE-2022-21292 组件: WebLogic漏洞类型: 代码问题影响: 信息泄露简述: 见漏洞描述。 三、 影响版本

查看详细

Microsoft Windows Installer 权限提升漏洞

一、 漏洞描述攻击者可利用此漏洞中存在的问题,通过以一定的逻辑步骤来安装组件,从而触发一个逻辑错误,导致最终获取计算机的最高权限。二、 漏洞详情 CVE-2022-2190: Microsoft Windows Installer 权限提升漏洞CVE: CVE-2022-2190 组件: Installer漏洞类型: 代码问题影响: 权限提升简述: 见漏洞描述。 三、 影响版本影响产

查看详细