热门文章

关注知道创宇云安全

获取安全动态

  • 更新 | 批量设置功能优化上线,便捷高效批量管理域名
    更新 | 批量设置功能优化上线,便捷高效批量管理域名

    为提升操作体验,方便用户更好地对大批量域名进行管理,知道创宇云安全团队进一步优化域名【批量设置】功能,让用户可以进行更高效的操作和管理。

    知道创宇云安全2019-09-26
  • Jira未授权SSRF漏洞(CVE-2019-8451)
    Jira未授权SSRF漏洞(CVE-2019-8451)

    前一段时间Atlassian的bug跟踪里公开了一个Jira未授权SSRF漏洞。看一下官方的描述: Jira的/plugins/servlet/gadgets/makeRequest资源存在SSRF漏洞,原因在于JiraWhitelist这个类的逻辑缺陷,成功利用此漏洞的远程攻击者可以以Jira服务端的身份访问内网资源。经分析,此漏洞无需任何凭据即可触发。

    scanv2019-09-24
  • phpMyAdmin 0 Day漏洞(CVE-2019-12922)
    phpMyAdmin 0 Day漏洞(CVE-2019-12922)

    安全研究人员Manuel Garcia Cardenas近日公布了最常用的管理MySQL和MariaDB数据库的应用程序phpMyAdmin中的0 day漏洞细节和PoC。 phpMyAdmin是一个用PHP编写的免费软件工具,也是用于处理MySQL或MariaDB数据库服务器的开源管理工具。phpMyAdmin被广泛用于管理用WordPress, Joomla等内容管理平台的网站的数据库。

    scanv2019-09-20
  • BitBucket参数注入漏洞(CVE-2019-15000)
    BitBucket参数注入漏洞(CVE-2019-15000)

    近日,Atlassian 官方发布了关于Atlassian Bitbucke漏洞公告,Atlassian Bitbucket Server和Atlassian Bitbucket Data Center中存在注入漏洞,允许攻击者向Git命令注入额外的参数,这可能导致远程命令执行。如果远程攻击者能够访问Bitbucket Server或Bitbucket Data Center中的Git存储库,则可以利用此参数注入漏洞。如果为项目或存储库启用了公共访问,则攻击者可以匿名利用此漏洞。

    scanv2019-09-20
  • WebSphere漏洞预警(CVE-2019-4505)
    WebSphere漏洞预警(CVE-2019-4505)

    IBM 官方发布的Websphere最新安全补丁中包含启明星辰ADLab发现并第一时间提交给官方的安全漏洞,漏洞编号为CVE-2019-4505。通过该漏洞,攻击者可以获取敏感信息而导致进一步利用。该漏洞危害较大,建议及时升级最新安全补丁。

    scanv2019-09-20
  • 泛微OA远程代码执行
    泛微OA远程代码执行

    近日泛微OA e-cology爆出一处接口未授权访问导致任意代码执行。 泛微OA e-cology是国内应用广泛的OA解决方案。e-cology平台以移动互联下的组织社交化转型需求为导向,采用轻前端重后端的设计思路,在前端面向用户提供个性化的办公平台,后端引擎帮助企业高效整合既有的it资源生成符合用户需求的it应用,并能够与e-mobile、移动集成平台等双剑合璧,帮助企业通过APP、微信、钉钉等多种路径实现移动协同办公。

    scanv2019-09-20
  • Fastjson<=1.2.60远程代码执行漏洞
    Fastjson<=1.2.60远程代码执行漏洞

    9月18日,有安全研究员在阿里官方GitHub上提交了针对fastjson反序列化远程命令执行漏洞新利用方式的修复代码,攻击者可以通过此漏洞远程执行恶意代码来入侵服务器。 fastjson是阿里巴巴的开源JSON解析库,它可以解析JSON格式的字符串,支持将Java Bean序列化为JSON字符串,也可以从JSON字符串反序列化到JavaBean,由于具有执行效率高的特点,应用范围广泛。请相关用户尽快采取防护措施。

    scanv2019-09-20
  • Harbor权限提升漏洞(CVE-2019-16097)
    Harbor权限提升漏洞(CVE-2019-16097)

    Harbor是一款开源的可信云镜像仓库。主要用于镜像上传、更新、存储和维护。常用于与CI/CD配合管理Docker镜像。 Harbor 1.7.6之前版本和Harbor 1.8.3之前版本中的core/api/user.go文件存在安全漏洞。若开放注册功能,攻击者可利用该漏洞创建admin账户。注册功能默认开放。攻击者可以以管理员身份下载私有项目并审计;可以删除或污染所有镜像。

    scanv2019-09-20