鉴黑担保网

首页 > 手艺支持 > 升级通告 > 每周升级通告

每周升级通告-2022-01-11

宣布时间 2022-01-12

新增事务

事务名称：	TCP_代码执行_Dubbo反序列化_远程代码执行误差[CVE-2021-30179]
清静类型：	清静误差
事务形貌：	检测到源ip正在使用Dubbo的GenericFilter接口的反序列化远程下令执行误差对目的主机举行攻击的行为。。。。。。。ApacheDubbo是一个漫衍式框架，，，致力于提供高性能透明化的RPC远程效劳挪用计划，，，以及SOA效劳治理计划。。。。。。。ApacheDubbo在现实应用场景中主要认真解决漫衍式的相关需求。。。。。。。
更新时间：	20220111

事务名称：	HTTP_清静误差_ApiSix_恣意代码执行[CVE-2021-45232][CNNVD-202112-2629]
清静类型：	清静误差
事务形貌：	在2.10.1之前的ApacheAPISIXDashboard中，，，ManagerAPI使用两个框架并在基础上引入`droplet`和`gin`两个框架，，，开发所有API和认证中心件基于框架`droplet`，，，但部分API直接使用接口`gin`框架未举行droplet认证，，，从而可以未授权会见。。。。。。。并且，，，在特别的路径下，，，保存被攻击者执行恣意lua代码的危害。。。。。。。
更新时间：	20220111

修改事务

事务名称：	HTTP_可疑行为_Fastjson误差_hex编码使用
清静类型：	可疑行为
事务形貌：	FastJson是阿里巴巴的开源JSON剖析库，，，它可以剖析JSON名堂的字符串，，，支持将JavaBean序列化为JSON字符串，，，也可以从JSON字符串反序列化到JavaBean，，，由于具有执行效率高的特点，，，应用规模很广。。。。。。。攻击乐成，，，可远程执行恣意代码。。。。。。。fastjson可接受并剖析hex编码内容，，，因此攻击者可使用hex编码绕过检测装备。。。。。。。
更新时间：	20220111

上一篇下一篇

7*24小时效劳热线

400-624-3900

官方微信

官方微博

执法声明

Copyright ? 鉴黑担保网版权所有京ICP备05032414号京公网安备11010802024551号

【网站地图】【sitemap】