- 博客(3)
- 收藏
- 关注
RSS订阅原创 Spring Security 安全绕过漏洞CVE-2023-20860
在 Spring Security 配置中使用 “**” 作为匹配模式,配合 mvcRequestMatcher,会导致 Spring Security 和 Spring MVC 之间的模式匹配不匹配,并可能导致安全绕过漏洞。5.3.0 至 5.3.25。6.0.0 至 6.0.6。
2023-03-22 16:52:32
1798
1
原创 关于Apache Kafka 反序列化漏洞(CVE-2023-25194)
Apache 发布安全公告,Apache Kafka 存在反序列化漏洞。此漏洞允许服务器连接到攻击者的 LDAP 服务器并反序列化 LDAP 响应,攻击者可以使用它在 Kafka 连接服务器上执行 java 反序列化小工具链。当类路径中有小工具时,攻击者 可以造成不可信数据的无限制反序列化(或)RCE 漏洞。厂商已发布安全补丁修复漏洞,请及时下 载更新。Kafka 是由 Apache 软件基金会开发的一个开源流处 理平台,由 Scala 和 Java 编写。漏洞编号:CVE-2023-25194。
2023-03-22 11:29:38
875
1
原创 Outlook特权提升的严重安全漏洞CVE-2023-23379修复说明
在不需要和用户交互的前提下,攻击者利用此漏洞发送特制的电子邮件来获取收件用户的Net-NTLMv2 哈希值。另外,此漏洞可以经由预览窗格预览邮件而触发,让受害者没开信也会遭到攻击。攻击成功后,攻击者可提升受攻击系统账户的权限并获得 SYSTEM 权限,可执行任意代码。微软在2023年3月份的安全更新中,发布了一个针对Outlook特权提升的严重安全漏洞,该漏洞编号是CVE-2023-23397 ,CVSS评分达到9.8。1、将用户添加到受保护的用户安全组,以防止使用 NTLM 作为身份验证机制。
2023-03-22 11:17:36
994
1
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人