搜索中心

DevExpress 是目前 .Net 下最为强大的完整的一套 UI 控件库。在分析绕过 SerializationBinder 不安全的类型绑定过程中，关注到了 DevExpress CVE-2022-28684 反序列化漏洞。

近日监测到 Apache 发布安全的公告，修复了一个存在于 Apache Flume 中的代码执行漏洞CVE-2022-25167，攻击者可通过发送特制的 JNDI 查找，从而在目标系统上执行任意代码。

推荐 10 个高质量公众号，不仅原创内容多，而且干货满满！

使用 SerializationBinder 无法完全修复反序列化漏洞隐患。经过深入研究总结了两种不安全 SerializationBinder 限定的绕过方式，下面分享给大家。

在 v3.2.2 版本之前的 Apache CouchDB 中，可以在不进行身份验证的情况下访问不正确的默认安装并获得管理员权限，进而实现 RCE ，漏洞编号 CVE-2022-24706 。

Django 数据库函数 Trunc 和 Extract 主要用于进行日期操作，如果将未过滤的数据传递给 kind 或 lookup_name 时，将会产生 SQL 注入漏洞 CVE-2022-34265。

ZyXel NAS产品中的某个特定二进制程序中存在一个格式化字符串漏洞，可导致攻击者通过精心构造的UDP数据包实现越权远程代码执行。

2022.07.20 Atlassian 官方通报了 Questions for Confluence 应用程序存在硬编码漏洞 CVE-2022-26138，当 Confluence 安装该应用程序后，会自动新增一个硬编码的管理员账号密码。

Grav CMS 可以通过 Twig 来进行页面的渲染，近期监测通报了 RCE 漏洞CVE-2022-2073 ，研究发现最新版本补丁也很容易绕过。

Zoho ManageEngine ADAudit Plus v7060 以前版本存在认证前 XXE 、JAVA 反序列化和目录穿越漏洞，综合利用可实现远程命令执行。

CVE-2022-33980 Apache Commons Configuration 变量差值导致远程命令执行。

微软发布 Skype for Business 存在一个信息泄露漏洞 CVE-2022-26911。

开发 WinRAR 的 RarLab 公司研发的 unrar Linux 版本的二进制文件中发现了一个路径穿越漏洞 CVE-2022-30333 ，可以实现任意文件写入。

Apache Spark 支持启动 ACL 来为 Web UI 访问提供身份验证，当 ACL 启动时可以通过构造特殊请求用户名导致 RCE 。

漏洞空间站上线啦！！Zoho ManageEngine ADSelfService 6118 以前版本存在认证后目录穿越问题（CVE-2022-29457），可导致远程命令执行。

Atlassian Jira 存在服务端伪造请求漏洞 CVE-2022-26135，该漏洞是由 Mobile Plugin for Jira 组件造成的，可通过 Jira REST API 发送特殊请求，从而发起 SSRF 攻击。

Advantech iView存在多种不同类型的RCE漏洞CVE-2022-2135&2143&2135等等，结合 3 个接口分别通过SQL注入、命令注入和路径穿越实现getshell。

近日Oracle通报了一个反序列化漏洞CVE-2022-21445，未经身份认证的远程攻击者可利用该漏洞实现反序列化操作导致任意代码执行。任何基于ADF Faces框架开发的程序都受到此漏洞的影响，包括Oracle的多个产品。

近日监测到Apache发布公告，修复了Apache Shiro框架中的一个认证绕过漏洞CVE-2022-32532当使用RegexRequestMatcher进行认证配置时，可以通过构造特殊请求绕过正则表达式检查，从而实现认证绕过。

近日 Whatsup Gold 披露了多个漏洞，CVE-2022-29847 是未授权 SSRF 漏洞，可以获取任意用户加密口令，可结合安装序列号恢复明文，与 CVE-2022-29846 序列号泄露组合使用可获取控制台管理权限。

厂商

火绒安全

469

0

火绒安全成立于2011年9月，是一家专注、纯粹的安全公司，致力于在终端安全领域，为用户提供专业的产品和专注的服务，并持续对外赋能反病毒引擎等自主研发技术。

厂商

青藤云安全

766

0

作为中国云安全整体解决方案领军者，青藤聚焦于关键信息基础设施领域的云安全建设，坚持“技术创新，科技报国”的初心，为数字中国、网络强国事业发展做贡献。

厂商

慧盾安全

428

0

慧盾安全致力于数据安全整体解决方案的研发、销售和服务，主营业务为视频安全、大数据安全。

厂商

360

407

0

360是中国领先的互联网和安全服务提供商。自2005年成立以来，360公司一直致力于为用户提供全面、可靠的网络安全解决方案。

厂商

威努特

797

0

威努特是国内工控安全行业领军者，凭借卓越的技术创新能力成为全球六家荣获国际自动化协会ISASecure 认证企业之一和首批国家级专精特新“小巨人”企业

厂商

保旺达

570

0

公司以“创造更安全的数字未来"为使命，基于自主创新技术做精做深全系数据安全产品。

厂商

开源网安

421

0

开源网安创立于2013年，是中国软件安全行业创领者、网络安全百强企业。

厂商

瑞数

551

0

瑞数信息作为中国Bot自动化攻击防护领域的创新和引领者，自2012年成立以来迅速成长，覆盖上千家客户。

厂商

安恒信息

794

0

安恒信息以、数据安全、AI、安全运营服务为核心战略，涵盖网络安全、数据安全、云安全、信创安全、密码安全、安全服务等数字安全能力，服务10万+政企单位客户。

厂商

圣博润

474

0

北京圣博润高新技术股份有限公司是一家专注于网络安全技术研究、产品研发和安全服务的高新技术企业。

厂商

迪普

586

0

迪普科技 以“让网络更简单、智能、安全”为使命，聚焦于网络安全及应用交付领域，是一家集研发、生产、销售于一体的高科技上市企业。

厂商

海云安

559

0

深圳海云安网络安全技术有限公司成立于2015年，是一家专注于AI大模型赋能安全左移的国家级高新技术企业和专精特新企业。

厂商

海泰方圆

406

0

北京海泰方圆科技股份有限公司是一家以密码全能力和可信数据治理为核心，全面服务于网信大时代的领军安全企业。

厂商

吉大正元

377

0

吉大正元以密码技术为核心，开展信息安全软件的研发、生产和销售及服务，面向政府、军工、金融、能源、电信等重点行业和领域提供基于密码的可信身份认证等全方位解决方案。

厂商

天地和兴

429

0

北京天地和兴科技有限公司是我国最早专注于工业网络安全的专精特新企业之一。

厂商

傲盾

515

0

北京傲盾软件有限责任公司，以下简称"傲盾公司"，是注册于中关村的高新技术企业，自 1998 年开始， 就一直致力于 DDoS 防火墙产品的研发。基于持续的技术研究和技术创新， 傲盾公司在漏洞挖掘和防护技术、 黑客攻击防御技术、非法信息监控技术、网络加速技术、IDC整体解决方案等多个领域积累了丰富的经验。

厂商

指掌易

440

0

北京指掌易科技有限公司，专注于移动业务安全包括移动办公安全和移动应用安全，同时指掌易遵循以零信任安全理念构建的自适应访问控制的零信任安全架构的零信任解决方案，为各行业用户打造一站式移动业务安全赋能平台，助力用户安全、高效、合规开展业务。

厂商

数安易科技

372

1

数安易科技是新一代的数据安全公司，核心团队来自业内著名数据安全厂商和百度、京东等大厂，具备十多年的数据安全产品研发和销售经验。自研的新一代数据安全产品如数据库审计、数据库安全运维、数据脱敏、数据加密、数据资产管理平台等产品广泛运用于运营商、金融、政府、军工、医疗、能源等重要行业客户，广受好评。

厂商

蜚语科技

560

0

蜚语科技是一家专注于提供软件供应链安全创新解决方案的网络安全企业，成立于2019年。 蜚语科技孵化自上海交通大学计算机系，创始团队由4名博士组成，拥有十数年的前沿安全研究和一线安全业务经验。 。

厂商

亚信安全

687

0

亚信安全是中国网络安全软件领域的领跑者，以"懂网、懂云"的网络安全公司自居。