【威胁通告】Django JSONField/HstoreField SQL 注入漏洞(CVE-2019-14234)
近日,Django 官方发布安全通告公布了一个 SQL 注入漏洞(CVE-2019-14234)。
绿盟科技权威发布《IPv6环境下的网络安全观察》
未来的时代里,数字化和全球化将深入到世界各地每一个角落,人人受惠。基于IPv6的下一代互联网,将成为支撑前沿技术和产业快速发展的基石。据《经济日报》报道,截至2019年6月,我国IPv6活跃用户数达1.3亿,基础电信企业已分配IPv6地址用户数12.07亿。
【威胁通告】Jackson-databind远程代码执行漏洞 (CVE-2019-12384)
近日,有安全人员分析Jackson-databind的一个漏洞(CVE-2019-12384)后发现,在满足特定条件时,攻击者可以通过发送恶意的请求包绕过黑名单限制,从而在反序列化时在受影响的服务器上远程执行代码。
【威胁通告】ProFTPd任意文件拷贝漏洞(CVE-2019-12815)
近日,ProFTPd官方修复了一个任意文件拷贝漏洞(CVE-2019-12815)。该漏洞源于mod_copy模块中的自定义SITE CPFR和SITE CPTO操作,通过发起这2个命令给ProFTPd,攻击者可以在没有权限的情况下拷贝FTP服务器上的任何文件。
【漏洞分析】SA-CORE-2019-008 Drupal访问绕过漏洞(CVE-2019-6342)
此次漏洞出现在设计过程的一个疏忽,在默认没有分配权限的情况下用户可以绕过权限检查进行发布/删除/修改文章操作,但由于该漏洞仅影响Drupal 8.7.4版本,并且需要开启Workspaces模块,这又是一个实验功能,默认不启用,因此漏洞影响减弱了不少,用户可以升级Drupal版本或者关闭Workspaces模块以消除漏洞影响。
【威胁通告】Drupal访问绕过漏洞(CVE-2019-6342)
当地时间7月17日,Drupal官方发布安全通告修复了一个访问绕过漏洞(CVE-2019-6342)。在Drupal 8.7.4中,当启用实验性工作区模块(experimental Workspaces module)时,将为攻击者创造访问绕过的条件。Drupal官方将该漏洞定级为严重(Critical)。
【威胁通告】Oracle全系产品2019年7月关键补丁更新
当地时间2019年7月16日,Oracle官方发布了2019年7月关键补丁更新公告CPU(Critical Patch Update),安全通告以及第三方安全公告等公告内容,修复了319个不同程度的漏洞。
【威胁通告】JIRA服务器模板注入漏洞 (CVE-2019-11581)
JIRA官方发布安全通告修复了一个服务器端的模板注入漏洞(CVE-2019-11581),影响Jira Server和Jira Data Center。成功利用该漏洞的攻击者可以在受影响服务器上远程执行代码。使用Jira Cloud的用户不受影响。
【威胁通告】Fastjson远程代码执行漏洞
近日,有安全人员发现Fastjson的多个版本补丁修复存在问题。攻击者仍然可以通过发送精心制造的请求包, 在使用Fastjson的服务器上远程执行代码。该问题影响Fastjson 1.2.47以及之前的版本,而且无需开启Autotype选项。
