绿盟威胁情报周报(20210329-20210404)
一、威胁通告 GitLab多个高危漏洞 【发布时间】2021-04-02 15:00:00 GMT 【概述】2
上述模板文件是自解释的,实际试试就知道怎么写、怎么读。从最后一行开始读,依次套用结构、解析成员、显示数据、调用回调等等。
再做擎旗手,勇当弄潮儿
由于Apache Solr默认安装时未开启身份验证,导致未经身份验证的攻击者可利用Config API打开requestDispatcher.requestParsers.enableRemoteStreaming开关,从而利用漏洞进行文件读取。
3月18日,GitLab官方发布安全通告修复了存在社区版(CE)和企业版(EE)中的GitLab 代码执行漏洞,未授权但经过身份验证的攻击者通过利用可控的markdown渲染选项,构造恶意请求从而在服务器上执行任意代码。