凯旋国际游戏

首页 > 手艺支持 > 升级通告 > 每周升级通告

每周升级通告-2022-07-31

宣布时间 2022-07-31

新增事务

事务名称：	TCP_提权攻击_Apache_Log4j2变形绕过_代码执行
清静类型：	清静误差
事务形貌：	ApacheLog4j2是一个用于Java的日志纪录库，，，，，，其支持启动远程日志效劳器。。。在ApacheLog4j22.14.1之前的2.x版本中保存清静误差。。。攻击者可使用该误差远程执行恣意代码
更新时间：	20220731

事务名称：	HTTP_文件操作攻击_JQuery_1.7.2_恣意文件下载
清静类型：	清静误差
事务形貌：	使用了JQuery1.7.2的JavaScript库的站点可通过前台恣意文件下载，，，，，，可读取敏感文件。。。该误差是由于sys_dia_data_down文件下载功效未对用户提交的file参数举行检测，，，，，，直接拼接到了路径中，，，，，，导致可以跳目录，，，，，，下载其他目录下的文件。。。
更新时间：	20220731

修改事务

事务名称：	HTTP_其它可疑行为_Shiro_Cookie长度异常
清静类型：	可疑行为
事务形貌：	ApacheShiro默认使用了CookieRememberMeManager。。。其处置惩罚cookie的流程是：获得rememberMe的cookie值；；Base64解码；；AES解密；；反序列化。。。然而AES的密钥是硬编码的，，，，，，即AES加解密的密钥是写死在代码中的，，，，，，攻击者可以结构恶意数据造成反序列化误差，，，，，，cookie长度异常提醒可能为攻击者结构的恶意payload。。。
更新时间：	20220731

上一篇下一篇

7*24小时效劳热线

400-624-3900

官方微信

官方微博

执法声明

Copyright ? 凯旋国际游戏版权所有京ICP备05032414号京公网安备11010802024551号

【网站地图】