【威胁通告】Django SQL注入漏洞(CVE-2020-7471)
近日,Django 官方发布安全通告公布了一个通过StringAgg(分隔符)的潜在SQL注入漏洞(CVE-2020-7471)。
如果将不受信任的数据用作StringAgg分隔符,则部分版本的 Django将允许SQL注入。
通过将精心设计的分隔符传递给contrib.postgres.aggregates.StringAgg实例,可以打破转义并注入恶意SQL。
目前已存在针对该漏洞的 PoC。
【威胁通告】《Adobe 2月安全更新安全威胁通告》
当地时间2月11日,Adobe官方发布了2月安全更新,修复了Adobe 多款产品的多个漏洞,包括Adobe Experience Manager、Adobe Digital Editions、Adobe Flash Playe、Adobe Acrobat and Reader以及Adobe Framemaker等。
【威胁通告】《微软发布2月补丁修复100个安全问题》
微软于周二发布了2月安全更新补丁,修复了100个从简单的欺骗攻击到远程执行代码的安全问题,产品涉及Adobe Flash Player、Internet Explorer、Microsoft Edge、Microsoft Exchange Server、Microsoft Graphics Component、Microsoft Malware Protection Engine、Microsoft Office、Microsoft Office SharePoint、Microsoft Scripting Engine、Microsoft Windows、Microsoft Windows Search Component、Remote Desktop Client、Secure Boot、SQL Server、Windows Authentication Methods、Windows COM、Windows Hyper-V、Windows Installer、Windows Kernel、Windows Kernel-Mode Drivers、Windows Media、Windows NDIS、Windows RDP、Windows Shell以及Windows Update Stack。
【威胁通告】Cisco(思科)发现协议漏洞(CDP)
北京时间2月6日,思科(Cisco)官方修复了存在于CDP协议中的5个高危漏洞,该协议可允许思科设备在内网环境通过多播消息互相分享消息,主要影响IP电话和摄像头设备。
【威胁通告】FusionAuth远程命令执行(CVE-2020-7799)漏洞
在FusionAuth中经过身份验证的用户可以编辑电子邮件模板或主题,从而通过处理自定义模板的Apache FreeMarker引擎中的freemarker.template.utility.Execute在底层操作系统上执行任意命令。
【威胁通告】Apache FreeMarker模板FusionAuth远程代码执行漏洞 (CVE-2020-7799)
近日,Apache FusionAuth发布新版本修复了一个远程代码执行漏洞。该组件利用了Apache FreeMarker模板引擎,通过验证的用户在使用Apache FusionAuth进行模板编辑时,可以利用freemarker.template.utility.Execute在服务器上执行任意命令。
【威胁通告】Weblogic WLS组件IIOP协议远程代码执行漏洞(CVE-2020-2551) 防护方案
在Oracle官方发布的2020年1月关键补丁更新公告CPU(Critical Patch Update)中,公布了一个Weblogic WLS组件IIOP协议中的远程代码执行漏洞CVE-2020-2551。该漏洞涉及WebLogic Server核心组件,且能在WebLogic Server默认配置、无需管理员身份认证及额外交互的情况下被触发,影响面较大。
【威胁通告】WordPress插件身份验证绕过漏洞
近日,WebARX的研究员公布了两个存在于WordPress插件中的高危身份验证绕过漏洞,利用这些漏洞,攻击者无需密码即可登录管理员帐户。