绿盟威胁情报周报(20210301-20210307)
一、威胁通告 微软Exchange多个高危漏洞 【发布时间】2021-03-03 09:00:00 GMT 【
3月1日,绿盟科技监测到Apache软件基金会发布安全通告,修复了一个通过会话持久性进行RCE的漏洞,此漏洞为CVE-2020-9484的补丁绕过,如果使用了Tomcat的session持久化功能,不安全的配置将导致攻击者可以发送恶意请求执行任意代码。
一、威胁通告 微软2月安全更新多个产品高危漏洞通告(CVE-2021-1727、CVE-2021-1732、C
绿盟科技监测到Apache Shiro官方发布安全更新,修复了一个新的权限绕过漏洞(CVE-2020-17523)。当Apache Shiro与Spring结合使用时,攻击者可以构造特定的HTTP请求绕过身份验证访问后台功能
攻击者利用此漏洞,可实现XML外部实体注入。