Spring Security 通配符路由绕过漏洞-低调大师

漏洞描述 JumpServer 是一款开源的堡垒机。该项目受影响版本存在命令注入漏洞，由于jumpserver的Koko组件对Kubernetes token进行检查时未过滤便进行命令拼接，具备登录权限的远程攻击者可构造恶意的Kubernetes token进行命令注入，当使用Koko连接Kubernetes集群时可造成恶意命令执行（发生于Koko所处容器）漏洞名称 JumpServer 存在命令注入漏洞漏洞类型命令注入发现时间 2023-03-17 漏洞影响广度一般 MPS编号 MPS-2023-7655 CVE编号 CVE-2023-28110 CNVD编号 - 影响范围 JumpServer koko@(-∞, 2.28.8) 修复方案将组件 JumpServer koko 升级至 2.28.8 及以上版本参考链接 https://www.oscs1024.com/hd/MPS-2023-7655 https://nvd.nist.gov/vuln/detail/CVE-2023-28110 https://github.com/jumpserver/jumpse...

2023-03-17

425

Apache Tomcat 存在 cookie 泄漏漏洞

漏洞描述 Apache Tomcat 是一款开源的 Web 应用服务器，RemoteIpFilter 是一个过滤器，用于将 HTTP 请求中代理服务器的 IP 地址替换为客户端的真实 IP 地址。受影响版本中，当使用 RemoteIpFilter 处理通过 HTTP 从反向代理接收到的请求时，如果请求头中包含设置为 https 的 X-Forwarded-Proto 字段，Tomcat 创建的会话 cookie 将不包括安全属性，从而导致用户代理通过不安全的渠道传输会话 cookie。攻击者可通过抓包获取用户 cookie，从而使用受害者身份执行恶意操作。漏洞名称 Apache Tomcat 存在 cookie 泄漏漏洞漏洞类型信息暴露发现时间 2023-03-22 漏洞影响广度广 MPS编号 MPS-2023-8611 CVE编号 CVE-2023-28708 CNVD编号 - 影响范围 org.apache.tomcat:tomcat-catalina@[11.0.0, 11.0.0-M3) org.apache.tomcat:tomcat-catalina@[10.0...

2023-03-22

412

资源下载

更多资源

Oracle

Oracle Database，又名Oracle RDBMS，或简称Oracle。是甲骨文公司的一款关系数据库管理系统。它是在数据库领域一直处于领先地位的产品。可以说Oracle数据库系统是目前世界上流行的关系数据库管理系统，系统可移植性好、使用方便、功能强，适用于各类大、中、小、微机环境。它是一种高效率、可靠性好的、适应高吞吐量的数据库方案。

Eclipse

Eclipse 是一个开放源代码的、基于Java的可扩展开发平台。就其本身而言，它只是一个框架和一组服务，用于通过插件组件构建开发环境。幸运的是，Eclipse 附带了一个标准的插件集，包括Java开发工具（Java Development Kit，JDK）。

JDK

JDK是 Java 语言的软件开发工具包，主要用于移动设备、嵌入式设备上的java应用程序。JDK是整个java开发的核心，它包含了JAVA的运行环境（JVM+Java系统类库）和JAVA工具。

Sublime Text

Sublime Text具有漂亮的用户界面和强大的功能，例如代码缩略图，Python的插件，代码段等。还可自定义键绑定，菜单和工具栏。Sublime Text 的主要功能包括：拼写检查，书签，完整的 Python API ， Goto 功能，即时项目切换，多选择，多窗口等等。Sublime Text 是一个跨平台的编辑器，同时支持Windows、Linux、Mac OS X等操作系统。