WordPress XSS漏洞

一、 漏洞描述在安装了 Elementor 的站点上,具有该 edit_posts 功能的攻击者可以在他们控制的服务器上制作和托管一个包含恶意 JavaScript 的块,然后通过发送 AJAX 请求并将操作设置为 astra-page-elementor-batch-process 并且 url 参数指向他们远程托管的恶意块,从而使用它来覆盖任何帖子或页面,以及包含要覆盖的帖子或页面的 id

查看详细

WordPress 远程代码执行漏洞

一、 漏洞描述具有贡献者级别及以上访问权限的攻击者可利用 ~/src/Image.php 文件中的输入文件类型验证不足,通过对 WordPress 热门帖子上传恶意文件,从而能够远程代码执行。二、 漏洞详情CVE-2021-42362 : WordPress 远程代码执行漏洞CVE: CVE-2021-42362 组件: wordpress-popular-posts漏洞类型: 代码

查看详细

VMWARE Spring Cloud Netflix 模板解析漏洞

一、 漏洞描述攻击者可利用同时使用 spring-cloud-netflix-hystrix-dashboard 和 spring-boot-starter-thymeleaf 的应用程序公开在视图模板解析期间执行在请求 URI 路径中提交的代码问题,对 `/hystrix/monitor;[user-provided data]` 发出请求,使 `hystrix/monitor` 后面的路径

查看详细

Metabase 信息泄露漏洞

一、 漏洞描述攻击者可利用自定义 GeoJSON 映射支持和潜在的本地文件存在的安全问题,通过发送特制的 URL 获取服务器敏感性信息。二、 漏洞详情CVE-2021-41277 : Metabase 信息泄露漏洞CVE: CVE-2021-41277 组件: Metabase漏洞类型: 代码问题影响: 可导致敏感信息泄露简述: 见漏洞描述 三、 影响版本影响产品或系统版本安全版

查看详细

Exchange Server代码执行漏洞

一、 漏洞描述Exchange Server 是一个设计完备的邮件服务器产品, 提供了通常所需要的全部邮件服务功能。除了常规的 SMTP/POP 协议服务之外,它还支持 IMAP4 、LDAP 和 NNTP 协议。Exchange Server 服务器有两种版本,标准版包括 Active Server、网络新闻服务和一系列与其他邮件系统的接口;企业版除了包括标准版的功能外,还包括与 IBM O

查看详细