龙空技术网

特别回顾丨2021十大Java漏洞

山石网科 190

前言:

目前各位老铁们对“apacheofbiz视频”可能比较关心,兄弟们都想要剖析一些“apacheofbiz视频”的相关资讯。那么小编在网上网罗了一些关于“apacheofbiz视频””的相关文章,希望小伙伴们能喜欢,我们快快来学习一下吧!

重磅盘点

2021十大JAVA漏洞

1.Log4j2 CVE-2021-44228

远程命令执行漏洞

Apache Log4j2是一款优秀的Java日志框架,其中提供了Lookups机制,用于添加一些特殊值到日志中。由于解析顺序不当,导致攻击者可通过恶意请求,触发远程代码执行漏洞。

2.XStream 反序列化漏洞若干

XStream是一个常用的Java对象和XML相互转换的工具,攻击者通过构造恶意的XML文档,可绕过XStream的黑名单,触发反序列化,从而造成反序列化代码执行漏洞。

3.Weblogic 反序列化漏洞若干

WebLogic是美国Oracle公司出品的Java应用服务器,WebLogic是用于开发、集成、部署和管理大型分布式Web应用、网络应用和数据库应用。攻击者可以通过构造恶意请求,利用反序列化漏洞获取服务器权限。

4.Apache Druid 未授权

RCE CVE-2021-26919/CVE-2021-25646

CVE-2021-25646 Apache Druid是用Java编写的面向列的开源分布式数据存储,由于Apache Druid 默认情况下缺乏授权认证,攻击者可直接构造恶意请求执行任意代码,控制服务器。

5.Apache Shiro<1.7.1

权限绕过 CVE-2020-17523 中危

Apache Shiro是一个开源安全框架,拥有身份验证、授权、加密和会话管理的功能。低于1.7.1版本的ApacheShiro在与Spring框架结合使用时,在一定权限匹配规则下,攻击者可以通过构造特定的HTTP请求包绕过身份认证,从而访问未授权资源。

6.Apache OFBiz RMI

反序列化RCE CVE-2021-26295

Apache OFBiz是一个电子商务平台,用于构建大中型企业级、跨平台、跨数据库、跨应用服务器的多层、分布式电子商务类应用系统。攻击者可构造恶意请求,触发反序列化,从而造成任意代码执行。

7.Atlassian Confluence

远程代码执行漏洞 CVE2021-26084

Atlassian Confluence是Atlassian公司出品的专业的企业知识管理与协同软件,可用于构建企业文库等。攻击者可以在未登录的情况下构造恶意请求,造成任意代码执行。

8.Apache Dubbo

远程代码执行漏洞若干

Apache Dubbo是一款应用广泛的Java RPC分布式服务框架,攻击者可以构造恶意请求造成远程代码执行漏洞。

9.Apache Tomcat Session

反序列化漏洞 CVE-2021-25329

Apache Tomcat是由Apache软件基金会属下Jakarta项目开发的Servlet容器,攻击者可以构造恶意请求绕过CVE-2020-9484补丁,造成反序列化代码执行漏洞。

10.致远OA

ajaxAction formulaManager 文件上传漏洞

致远OA是一套办公协同软件,由于致远OA旧版本某些ajax接口存在未授权访问,攻击者通过构造恶意请求,可在无需登录的情况下上传恶意脚本文件,从而控制服务器。

11.Apache Flink

CVE-2020-17518/CVE-2020-17519

Apache Flink是一个流式的数据流执行引擎,其针对数据流的分布式计算提供了数据分布、数据通信以及容错机制等功能。Flink 1.5.1引入了REST API,但其实现上存在多处缺陷,导致目录遍历和任意文件写入漏洞。

标签: #apacheofbiz视频 #apacheshiro需要什么包