bevictor伟德

首页 > 手艺支持 > 升级通告 > 每周升级通告

每周升级通告-2023-03-07

宣布时间 2023-03-07

新增事务

事务名称：	HTTP_误差使用_权限绕过_Apache_Shiro_v1.5.3以下[CVE-2020-11989][CNNVD-202006-1556]
清静类型：	清静误差
事务形貌：	ApacheShiro是一个强盛且易用的Java清静框架，，，，，，它可以用来执行身份验证、授权、密码和会话治理。。。。。。现在常见集成于种种应用中举行身份验证，，，，，，授权等。。。。。。关于ApacheShiro1.5.3之前的版本，，，，，，当将ApacheShiro与Spring控制器一起使用时，，，，，，攻击者特制请求可能会导致身份验证绕过。。。。。。
更新时间：	20230307

修改事务

事务名称：	HTTP_误差使用_代码执行_Apache_Log4j2_jndi注入嵌套lookup绕过[CVE-2021-44228]
清静类型：	清静误差
事务形貌：	ApacheLog4j2是一个用于Java的日志纪录库，，，，，，其支持启动远程日志效劳器。。。。。。此事务代表发明了源IP主机发送了知足log4j2组件支持的内置lookup名堂的字符串，，，，，，当目的IP主机后端吸收到此名堂的字符串时，，，，，，会自动挪用lookup功效。。。。。。此事务检测的是“嵌套”使用lookup记号的行为，，，，，，此行为具有较高危害，，，，，，容易被攻击者滥用，，，，，，如绕过WAF检测，，，，，，并举行非预期的jndi挪用，，，，，，从而执行恶意代码或下令。。。。。。log4j22.15.0-RC1之后的版本默认关闭了使用此手法挪用jndi挪用的功效，，，，，，并限制了白名单，，，，，，故使用未经限制的老版本log4j2组件可能会保存jndi注入的危害。。。。。。
更新时间：	20230307

事务名称：	TCP_误差使用_代码执行_Apache_Log4j2_jndi注入嵌套lookup绕过[CVE-2021-44228]
清静类型：	清静误差
事务形貌：	ApacheLog4j是一个用于Java的日志纪录库，，，，，，其支持启动远程日志效劳器。。。。。。此事务代表发明了源IP主机发送了知足内置lookup名堂的字符串，，，，，，当目的IP主机后端吸收到此名堂的字符串时，，，，，，会自动挪用lookup功效。。。。。。此事务检测的是“嵌套”使用lookup记号的行为，，，，，，此行为具有一定危害，，，，，，可能会被攻击者滥用，，，，，，如绕过WAF检测，，，，，，并举行非预期的jndi挪用。。。。。。
更新时间：	20230307

上一篇下一篇

7*24小时效劳热线

400-624-3900

官方微信

官方微博

执法声明

Copyright ? bevictor伟德版权所有京ICP备05032414号京公网安备11010802024551号

【网站地图】