2020-11
XStream远程代码执行漏洞(CVE-2020-26217)预警
≥≥11月16日,XStream发布了XStream远程代码执行漏洞的风险通告。漏洞编号:CVE-2020-26217。攻击者向XStream发送精心构造的XML格式数据,绕过XStream的黑名单防御,在目标服务器中执行任意代码。该漏洞是CVE-2013-7285漏洞的变体,漏洞危害较大。建议受影响用户及时升级补丁修复该漏洞,做好资产自查以及预防工作,以免遭受黑客攻击。...
来源:深信服科技股份有限公司、北京天融信科技有限公司、上海观安信息技术股份有限公司
2020-11
微软11月补丁日重点漏洞-Windows网络文件系统远程命令执行漏洞预警
≥≥11月11日,微软发布了11月安全更新通告,更新修复了112个漏洞。其中,17个漏洞被微软标记为“Critical”,93个漏洞标记为“Importent”,2个漏洞标记“Low”级别。此次安全更新主要涵盖了Microsoft Windows、Office、Internet Explorer、Edge、Exchange Server、Microsoft Dynamics、Azure Sphere等多款产品组件和软件。...
来源:深信服、北京天融信、神州绿盟、中国信息通信研究院
2020-11
Apache Tomcat WebSocket拒绝服务漏洞(CVE-2020-13935)预警
≥≥近日,监测发现到国外安全厂商公开了Apache Tomcat WebSocket拒绝服务漏洞(CVE-2020-13935)的相关POC代码,未授权的远程攻击者通过发送大量特制请求包到Tomcat服务器 ,可造成服务器停止响应并无法提供正常服务。目前,厂商已发布最新版本修复该漏洞,建议受影响用户尽快升级版本,做好资产自查以及预防工作,以免遭受黑客攻击。...
来源:深信服、天融信、中国信通院
2020-11
SaltStack多个高危漏洞预警
≥≥近日,监测发现SaltStack发布了多个高危漏洞的安全通告,相关漏洞信息:CVE-2020-16846 SaltStack命令注入漏洞、CVE-2020-17490 SaltStack逻辑漏洞、CVE-2020-25592 SaltStack认证绕过漏洞。目前,SaltStack官方已发布升级版本和漏洞修复补丁,建议受影响用户更新到修复版本,做好资产自查以及预防工作,以免遭受黑客攻击。...
来源:北京神州绿盟信息安全科技股份有限公司、北京天融信科技有限公司、深信服科技股份有限公司
2020-11
Apache Shiro身份验证绕过漏洞(CVE-2020-17510)预警
≥≥近日,监测发现Apache Shiro团队发布了Shiro 1.7.0之前版本存在身份验证绕过漏洞公告,漏洞编号:CVE-2020-17510,攻击者通过构造特殊HTTP请求来绕过身份验证,从而获取应用程序的访问权限。目前厂商已发布修复版本,建议受影响用户更新到1.7.0或以上版本,做好资产自查以及预防工作,以免遭受黑客攻击。...
来源:杭州安恒信息技术股份有限公司
2020-10
Oracle WebLogic Server console高危漏洞预警
≥≥近日,Oracle发布了10月漏洞补丁更新公告,修复了多个WebLogic Server相关的高危漏洞。其中WebLogic console存在远程代码执行漏洞,漏洞编号:CVE-2020-14882,攻击者可通过WebLogic Server HTTP Console接口,实现未授权的远程代码执行攻击,从而获得目标系统管理权限。该漏洞POC已在互联网公开,且无需身份验证即可触发该漏洞,漏洞风险较大,建议受影响用户及时下载补丁程序并安装更新,做好资产自查以及预防工作,以免遭受黑客攻击。...
来源:杭州安恒信息技术股份有限公司
2020-10
VMware vCenter任意文件读取漏洞预警
≥≥10月14日,监测发现VMware Vcenter存在任意文件读取漏洞,攻击者通过构造特定的请求,利用该漏洞可读取服务器上任意文件。漏洞危害较大,建议受影响用户及时更新修复版本,做好资产自查以及预防工作,以免遭受黑客攻击。...
来源:阿里云计算有限公司
2020-10
微软10月补丁日重点漏洞-Windows TCP/IP远程代码执行漏洞预警
≥≥10月13日,微软发布了10月安全更新公告,修复了Microsoft Windows、Office、Exchange Server、Visual Studio、.NET Framework等多款产品组件和软件存在的87个漏洞的补丁,其中Windows TCP/IP远程代码执行漏洞(CVE-2020-16898)威胁风险较大,攻击者成功利用该漏洞可在目标服务器或客户端上执行任意代码。建议受影响用户及时更新漏洞补丁,做好资产自查以及预防工作,以免遭受黑客攻击。...
来源:阿里云计算有限公司、观安信息、安恒信息、北京天融信