威胁通告 – 第 61 页 – 绿盟科技技术博客

【威胁通告】Fastjson <=1.2.62远程代码执行漏洞

2020-02-21绿盟科技fastjson, 漏洞, 远程代码执行

在jackson-databind 中最新发现的反序列化 gadget 也同样影响了fastjson，经绿盟科技研究人员验证复现，该漏洞影响最新的fastjson 1.2.62 版本，利用该漏洞可导致受害机器上的远程代码执行。开启了autoType功能的用户会受此漏洞影响（autoType功能默认关闭）。

【威胁通告】jackson-databind JNDI注入导致的远程代码执行漏洞(CVE-2020-8840)

2020-02-21绿盟科技CVE-2020-8840, Jackson databind, JNDI, 注入, 漏洞, 远程代码执行

近日，jackson-databind新版本中修复了一个由JNDI注入导致的远程代码执行漏洞CVE-2020-8840。受影响版本的 jackson-databind 中由于缺少某些xbean-reflect/JNDI黑名单类，如org.apache.xbean.propertyeditor.JndiConverter，可导致攻击者使用JNDI注入的方式实现远程代码执行。

刚刚，绿盟云针对Apache Tomcat文件包含漏洞的在线检测正式上线

2020-02-21绿盟科技CNVD-2020, CVE-2020-1938, NSFOCUS

2月20日，国家信息安全漏洞共享平台（CNVD）发布了一则关于Apache Tomcat存在文件包含漏洞的安全公告（CNVD-2020-10487，对应CVE-2020-1938）。绿盟科技安全研究团队第一时间对此次漏洞进行研究，并紧急上线了在线检测工具。

【威胁通告】Apache Tomcat 文件包含漏洞（CVE-2020-1938）

2020-02-20绿盟科技CVE-2020-1938, Tomcat, 漏洞

2月20日，国家信息安全漏洞共享平台（CNVD）发布了Apache Tomcat文件包含漏洞（CNVD-2020-10487/CVE-2020-1938）。该漏洞是由于Tomcat AJP协议存在缺陷而导致，攻击者利用该漏洞可通过构造特定参数，读取服务器webapp下的任意文件。若目标服务器同时存在文件上传功能，攻击者可进一步实现远程代码执行。目前，厂商已发布新版本完成漏洞修复。

绿盟科技威胁情报周报-2020年第7周（2020.2.10-2020.2.16）

2020-02-18绿盟科技NSFOCUS, 周报, 威胁情报

【威胁通告】微软SQL Server Reporting Services远程代码执行漏洞(CVE-2020-0618)

2020-02-17绿盟科技CVE-2020-0618, Microsoft, 微软, 漏洞, 远程代码执行

在上周发布的微软月度更新中，包含一个存在于SQL Server Reporting Services（SSRS）中的远程代码执行漏洞CVE-2020-0618。目前已存在针对该漏洞的 PoC，请相关用户尽快安装补丁进行防护。

【威胁通告】Apache Dubbo反序列化漏洞(CVE-2019-17564) 威胁通告

2020-02-13绿盟科技Appache, 反序列化漏洞

近日，Chekmarx团队的研究人员发现并公布了Apache Dubbo中存在的一个反序列化漏洞（CVE-2019-17564）。

Apache Dubbo 是一款高性能Java RPC框架。当在Dubbo应用中启用了HTTP协议进行通信时存在该漏洞，攻击者可能提交一个包含Java对象的POST请求来完全破坏Apache Dubbo的提供者实例。

微软更新多个产品高危漏洞威胁通告

2020-02-13绿盟科技微软, 微软漏洞

北京时间2月12日，微软发布2月安全更新补丁，修复了100个安全问题，涉及Internet Explorer、Microsoft Edge、Microsoft Exchange Server、Microsoft Office等广泛使用的产品，其中包括提权和远程代码执行等高危漏洞。

Django SQL注入漏洞（CVE-2020-7471）威胁通告

2020-02-13绿盟科技django, python django, sql注入漏洞

2月3日，Django 官方发布安全通告公布了一个通过StringAgg（分隔符）实现利用的潜在SQL注入漏洞（CVE-2020-7471）。攻击者可通过构造分隔符传递给聚合函数contrib.postgres.aggregates.StringAgg，从而绕过转义并注入恶意SQL语句。

【威胁通告】Django SQL注入漏洞(CVE-2020-7471)

2020-02-12绿盟科技CVE-2020-7471, django, SQL注入, 漏洞

近日，Django 官方发布安全通告公布了一个通过StringAgg（分隔符）的潜在SQL注入漏洞（CVE-2020-7471）。

如果将不受信任的数据用作StringAgg分隔符，则部分版本的 Django将允许SQL注入。

通过将精心设计的分隔符传递给contrib.postgres.aggregates.StringAgg实例，可以打破转义并注入恶意SQL。

目前已存在针对该漏洞的 PoC。

【威胁通告】《Adobe 2月安全更新安全威胁通告》

2020-02-12绿盟科技adobe, adobe漏洞, 威胁通告

当地时间2月11日，Adobe官方发布了2月安全更新，修复了Adobe 多款产品的多个漏洞，包括Adobe Experience Manager、Adobe Digital Editions、Adobe Flash Playe、Adobe Acrobat and Reader以及Adobe Framemaker等。