每周升级公告-2023-02-28
发布时间 2023-02-28新增事件
事件名称: | HTTP_漏洞利用_命令执行_GLPI_htmLawedTest.php |
安全类型: | 安全漏洞 |
事件描述: | 检测到源IP主机正在利用GLPI中htmLawedTest.php处的漏洞,进行远程任意命令执行。GLPI是个人开发者的一款开源IT和资产管理软件。该软件提供功能全面的IT资源管理接口,你可以用它来建立数据库全面管理IT的电脑,显示器,服务器,打印机,网络设备,电话,甚至硒鼓和墨盒等。 |
更新时间: | 20230228 |
事件名称: | HTTP_漏洞利用_未授权访问_Apache_AXIS_AdminService |
安全类型: | 安全漏洞 |
事件描述: | 检测到源IP主机正在利用ApacheAxis未授权访问漏洞攻击目的IP主机的行为。ApacheAxis是美国阿帕奇(Apache)软件基金会的一个开源、基于XML的Web服务架构。该产品包含了Java和C++语言实现的SOAP服务器,以及各种公用服务及API,以生成和部署Web服务应用。漏洞本质是管理员对AdminService的配置错误。当enableRemoteAdmin属性设置为true时,攻击者可以构造WebService调用freemarker组件中的template.utility.Execute类,远程利用AdminService接口进行WebService发布,再次访问生成的WebService接口,传入要执行的命令,就可以进行远程命令执行漏洞的利用。 |
更新时间: | 20230228 |
事件名称: | HTTP_漏洞利用_代码执行_IBM_Aspera_Faspex[CVE-2022-47986] |
安全类型: | 安全漏洞 |
事件描述: | IBMAsperaFaspex是一个基于IBMAspera高速传输服务器构建的文件交换应用程序,作为集中传输解决方案。借助基于Web的GUI,Faspex为FASP高速传输提供了高级管理选项,以匹配相关的工作流程。由于YAML反序列化缺陷,IBMAsperaFaspex可以允许远程攻击者在系统上执行任意代码。通过发送特别制作的过时API调用,攻击者可以利用此漏洞在系统上执行任意代码。影响版本:Faspex<=4.4.2 |
更新时间: | 20230228 |
事件名称: | HTTP_漏洞利用_代码执行_Spring_Boot_logging.config |
安全类型: | 安全漏洞 |
事件描述: | 检测到源ip正在利用Actuator的/evn接口通过logging.config参数尝试远程代码执行。SpringBootActuator是一款可以帮助你监控系统数据的框架,其可以监控很多很多的系统数据,它有对应用系统的自省和监控的集成功能,可以查看应用配置的详细信息。 |
更新时间: | 20230228 |
修改事件
事件名称: | HTTP_漏洞利用_代码执行_Discuz_X_uc_center |
安全类型: | 安全漏洞 |
事件描述: | Discuz!ML系统中,通过后台修改Ucenter数据库连接信息,可将恶意代码写入config/config_ucenter.php文件中,导致代码执行。 |
更新时间: | 20230228 |
事件名称: | HTTP_漏洞利用_代码执行_Discuz!X3.4 |
安全类型: | 安全漏洞 |
事件描述: | Discuz!ML系统安装后未登陆后台时,可利用文件删除漏洞删掉install.lock文件,绕过对安装完成的判断能够再进行安装的过程,然后将恶意代码写入配置文件中从而执行任意代码。 |
更新时间: | 20230228 |
事件名称: | HTTP_漏洞利用_代码执行_Phpcms:V9.5.8_后台管理 |
安全类型: | 安全漏洞 |
事件描述: | 检测到源IP主机正在利用CMS-Phpcms:V9.5.8后台任意代码执行漏洞对目的主机进行攻击的行为,该漏洞利用content.php文件构造恶意payload,从而造成代码执行。 |
更新时间: | 20230228 |
事件名称: | HTTP_漏洞利用_代码执行_SpamTitan网关[CVE-2020-11699][CNNVD-202009-1082] |
安全类型: | 安全漏洞 |
事件描述: | SpamTitan网关是功能强大的反垃圾邮件设备,它为网络管理员提供了广泛的工具来控制邮件流并防止有害的电子邮件和恶意软件。由于存在代码缺陷,攻击者可通过构造恶意payload,使得目标主机执行恶意命令。 |
更新时间: | 20230228 |
事件名称: | HTTP_侦察扫描_扫描器_DisBuster |
安全类型: | 安全扫描 |
事件描述: | DisBuster是渗透测试过程中常用的扫描工具,可以自定义加载自定义字典对目标进行目录或页面扫描和爆破。 |
更新时间: | 20230228 |
事件名称: | TCP_提权攻击_Weblogic_ForeignOpaqueReference组件_JNDI注入_代码执行[CVE-2023-21839] |
安全类型: | 安全漏洞 |
事件描述: | OracleWebLogicServer是一个统一的可扩展平台,用于在本地和云端开发、部署和运行企业应用程序,例如Java。WebLogicServer提供了JavaEnterpriseEdition(EE)和JakartaEE的可靠、成熟和可扩展的实现。由于ForeignOpaqueReference类存在安全问题,CVE-2023-21839漏洞允许未经身份验证的远程攻击者通过T3/IIOP协议网络访问并破坏易受攻击的WebLogic服务器,成功利用此漏洞可能导致OracleWebLogic服务器被接管或敏感信息泄露。影响范围:OracleWebLogicServer12.2.1.3.0OracleWebLogicServer12.2.1.4.0OracleWebLogicServer14.1.1.0.0 |
更新时间: | 20230228 |
事件名称: | TCP_安全漏洞_Apache_Log4j2_远程代码执行漏洞[CVE-2021-44228][CNNVD-202112-799] |
安全类型: | 安全漏洞 |
事件描述: | ApacheLog4j2是一个用于Java的日志记录库,其支持启动远程日志服务器。在ApacheLog4j22.15.0_rc1之前的2.x版本中存在安全漏洞。攻击者可利用该漏洞远程执行任意代码 |
更新时间: | 20230228 |
事件名称: | HTTP_漏洞利用_SQL注入_Django_kind_lookup_name[CVE-2022-34265][CNNVD-202207-347] |
安全类型: | 注入攻击 |
事件描述: | Django是一个基于Python的开源Web应用框架。Django存在一个SQL注入漏洞(CVE-2022-34265)。在受影响的Django版本(3.2.14、4.0.6之前的版本)中,可以通过传递恶意数据作为kind/lookup_name的值,如果应用程序在将这些参数传递给Trunc()和Extract()数据库函数(日期函数)之前没有经过输入过滤或转义,则容易受到SQL注入攻击。通过利用此漏洞,第三方可以向数据库发送命令以访问未经授权的数据或删除数据库等恶意行为。 |
更新时间: | 20230228 |
事件名称: | TCP_漏洞利用_反序列化_Weblogic_T3协议[CVE-2020-14756][CVE-2020-14756/CVE-2021-2394] |
安全类型: | 安全漏洞 |
事件描述: | OracleWebLogicServer是一个统一的可扩展平台,用于在本地和云端开发、部署和运行企业应用程序,例如Java。WebLogicServer提供了JavaEnterpriseEdition(EE)和JakartaEE的可靠、成熟和可扩展的实现。CVE-2020-2555漏洞可以绕过黑名单通过反序列化触发Extractor中不安全的extract方法,允许未经身份验证的远程攻击者通过T3协议网络访问并破坏易受攻击的WebLogic服务器,成功利用此漏洞可能导致OracleWebLogic服务器被接管或敏感信息泄露。影响范围:OracleCoherence10.3.6.0.0OracleCoherence12.1.3.0.0OracleCoherence12.2.1.3.0OracleCoherence12.2.1.4.0 |
更新时间: | 20230228 |
事件名称: | HTTP_提权攻击_Spring_Boot_jolokia_logback_远程代码执行 |
安全类型: | 安全漏洞 |
事件描述: | 检测到源ip正在利用Actuator的/jolokia接口调用ch.qos.logback.classic.jmx.JMXConfigurator类的reloadByURL方法设置外部日志配置url地址。SpringBootActuator是一款可以帮助你监控系统数据的框架,其可以监控很多很多的系统数据,它有对应用系统的自省和监控的集成功能,可以查看应用配置的详细信息。Jolokia允许通过HTTP访问所有已注册的MBean,同时可以使用URL列出所有可用的MBeans操作。 |
更新时间: | 20230228 |
事件名称: | DNS_木马_可疑矿池域名解析请求 |
安全类型: | 蠕虫病毒 |
事件描述: | 检测到木马试图连接远程服务器。源IP所在的主机可能被植入了挖矿木马。挖矿木马尝试连接矿池,受害主机变慢。 |
更新时间: | 20230228 |
事件名称: | HTTP_代码执行_WebLogic_反序列化漏洞[CVE-2018-3252][CNNVD-201810-843] |
安全类型: | 安全漏洞 |
事件描述: | 检测到源IP主机正在利用Weblogic构造恶意反序列代码执行任意命令;OracleWeblogicServer是应用程序服务器。Weblogic应用服务器的ApacheConnector模块中的mod_wl未对用户提交的输入数据进行正确检查,远程攻击者可以利用漏洞进行缓冲区溢出攻击,可导致拒绝服务或任意代码执行攻击。攻击者可以提交包含超长数据的POST请求触发此漏洞,精心构建提交数据可导致以应用程序权限执行任意指令,获得服务器的控制权。 |
更新时间: | 20230228 |
京公网安备11010802024551号