【威胁通告】Apache Dubbo反序列化漏洞(CVE-2019-17564) 威胁通告

近日,Chekmarx团队的研究人员发现并公布了Apache Dubbo中存在的一个反序列化漏洞(CVE-2019-17564)。

Apache Dubbo 是一款高性能Java RPC框架。当在Dubbo应用中启用了HTTP协议进行通信时存在该漏洞,攻击者可能提交一个包含Java对象的POST请求来完全破坏Apache Dubbo的提供者实例。

阅读全文 “【威胁通告】Apache Dubbo反序列化漏洞(CVE-2019-17564) 威胁通告” »

【威胁通告】Django SQL注入漏洞(CVE-2020-7471)

近日,Django 官方发布安全通告公布了一个通过StringAgg(分隔符)的潜在SQL注入漏洞(CVE-2020-7471)。

如果将不受信任的数据用作StringAgg分隔符,则部分版本的 Django将允许SQL注入。

通过将精心设计的分隔符传递给contrib.postgres.aggregates.StringAgg实例,可以打破转义并注入恶意SQL。

目前已存在针对该漏洞的 PoC。

阅读全文 “【威胁通告】Django SQL注入漏洞(CVE-2020-7471)” »