【威胁通告】Apache FreeMarker模板FusionAuth远程代码执行漏洞 (CVE-2020-7799)

近日,Apache FusionAuth发布新版本修复了一个远程代码执行漏洞。该组件利用了Apache FreeMarker模板引擎,通过验证的用户在使用Apache FusionAuth进行模板编辑时,可以利用freemarker.template.utility.Execute在服务器上执行任意命令。

阅读全文 “【威胁通告】Apache FreeMarker模板FusionAuth远程代码执行漏洞 (CVE-2020-7799)” »

【M01N】CVE-2020-0601 Windows CryptoAPI欺骗漏洞分析

1月15日,微软发布了针对CVE-2020-0601的安全补丁,该漏洞是微软在实现椭圆曲线加密算法数字证书验证时产生,可被利用于伪造来自可信任来源的签名或证书,并且因其业务特性会衍生出多种攻击向量,具有极高的可利用价值和极大的潜在破坏力,Win 10和windows server 2016 & 2019也都在其影响范围内。

阅读全文 “【M01N】CVE-2020-0601 Windows CryptoAPI欺骗漏洞分析” »

【威胁通告】Weblogic WLS组件IIOP协议远程代码执行漏洞(CVE-2020-2551) 防护方案

在Oracle官方发布的2020年1月关键补丁更新公告CPU(Critical Patch Update)中,公布了一个Weblogic WLS组件IIOP协议中的远程代码执行漏洞CVE-2020-2551。该漏洞涉及WebLogic Server核心组件,且能在WebLogic Server默认配置、无需管理员身份认证及额外交互的情况下被触发,影响面较大。

阅读全文 “【威胁通告】Weblogic WLS组件IIOP协议远程代码执行漏洞(CVE-2020-2551) 防护方案” »