基础信息漏洞等级：高危CVE：CVE-2020-4450CNNVD：暂无披露来源：斗象能力中心披露时间：2020-06-05 20:21:01CVSS：暂无CNVD：暂无其他编号：暂无披露链接：暂无最近更新时间：2020-06-05 20:14:04详细信息事件背景WebSphere Application Server 是一款由IBM 公司开发的高性能的Java 中间件服务器，可用于构建、运行、集成、保护和管理部署的动态云和Web 应用。它不仅能够确保高性能和灵活性，还提供多种开放标准编程模型选项，旨在最大程度提高开发人员的生产力。漏洞信息根据 IBM 官方通告,WebSphere Application Server 存在一处IIOP反

一前言2019年10月22日，在github上公开了一个关于PHP的远程代码执行漏洞。二漏洞简介此漏洞由于不正确的Nginx+php-fpm配置导致服务端存在在处理%0a时存在不正确解析方式，可能导致任意代码执行。三漏洞危害经分析，攻击者可以通过精心构造的请求包在错误配置的PHP服务器上进行远程代码执行。四影响范围产品PHP版本5.6-7.x组件PHP五漏洞复现经确认，漏洞确实存在，5.6以上版本Crash, 7.X版本RCE通过请求包写入日志查看phpinfo可以发现查看/tmp/a通过访问2.php可以实现远程代码执行六修复方案1、请结合实际业务场景，在不影响正常业务的情况

2019年10月18日，阿里云应急响应中心捕获泛微e-cology OA系统前台SQL注入漏洞攻击方式。攻击者通过构造特定的HTTP请求，成功利用漏洞可在目标服务器上执行SQL语句，可导致脱库，风险较大。漏洞描述泛微e-cology OA系统的validate.jsp文件中，由于对参数capitalid过滤不严，可导致SQL注入漏洞。攻击者利用该漏洞，可在未授权的情况下，远程发送精心构造的SQL语句，从而获取数据库敏感信息。阿里云应急响应中心提醒泛微e-cology OA用户尽快采取安全措施阻止漏洞攻击。影响版本泛微e-cology OA系统 V8 V9版本安全建议泛微e-cology OA系统为商

TAG：Kibana、Timelion、远程代码执行、CVE-2019-7609漏洞危害：高，攻击者利用此漏洞，可造成远程代码执行。版本：1.01漏洞概述2019年2月官方发布公告称Kibana存在远程代码执行漏洞，5.6.15 和 6.6.1之前的 Kibana 版本在 Timelion 可视化工具中存在功能缺陷，导致攻击者可在服务器上利用Kibana执行任意代码，目前PoC已公布，请相关用户及时进行自查和防护。Kibana 是 Elasticsearch 的开源数据可视化插件。它为Elasticsearch提供可视化功能，可以用来搜索和查看存储在Elasticsearch索引中的数据，并可以将数据以各种图表、表格和地图的形

一、背景信息2019年10月16日，海青实验室监测到Oracle官方发布了2019年10月安全更新公告，内含CVE-2019-2890漏洞预警，漏洞等级严重。WebLogic 是 Oracle 公司出品的基于 JavaEE 架构的中间件，用于开发、集成、部署和管理大型分布式 Web 应用、网络应用和数据库应用的的Java应用服务器。Weblogic在利用T3协议进行远程资源加载调用时，默认会进行黑名单过滤以保证反序列化安全。本漏洞绕过了Weblogic的反序列化黑名单，使攻击者可以通过T3协议对存在漏洞的Weblogic组件实施远程攻击。由于T3协议在Weblogic控制台开启的情况下默认开启，而W

一前言泛微专注于协同管理OA软件领域，并致力于以协同OA为核心，帮助企业构建全新的移动办公平台。作为协同管理软件行业的实力企业，泛微有业界优秀的协同管理软件产品。二漏洞简介泛微e-cology OA系统的WorkflowCenterTreeData接口，且后端使用Oracle数据库时，由于内置SQL语句拼接不严，导致泛微e-cology OA系统存在SQL注入漏洞。攻击者利用该漏洞，可在未授权的情况下，远程发送精心构造的SQL语句，从而获取数据库敏感信息。三漏洞危害经斗象安全应急响应团队分析，攻击者可以通过精心构造的请求包在受影响版本的泛微OA上进行SQL注入，

一前言北京时间5月15日，微软发布了针对远程桌面服务的远程执行代码漏洞CVE-2019-0708的修复程序, 漏洞触发无需用户交互。这也就意味着，攻击者可以利用该漏洞制作类似于2017年席卷全球的WannaCry类的蠕虫病毒，进行大规模传播和破坏。斗象智能安全ARS/PRS产品已全面支持该漏洞的检测与验证，用户可直接登陆www.riskivy.com 进行验证。二漏洞简介远程桌面服务（以前称为终端服务）中存在远程执行代码漏洞，当未经身份验证的攻击者使用RDP连接到目标系统并发送特制请求时。成功利用此漏洞的攻击者可以在目标系统上执行任意代码。然后攻击者

一前言Fastjson是阿里巴巴的开源JSON解析库，它可以解析JSON格式的字符串，支持将Java Bean序列化为JSON字符串，也可以从JSON字符串反序列化到JavaBean。二漏洞简介Fastjson 1.2.60版本以下存在字符串解析异常。三漏洞危害经斗象安全应急响应团队分析Fastjson多个版本存在远程拒绝服务漏洞，Fastjson 1.2.60版本以下存在字符串解析异常，可导致远程拒绝服务攻击。攻击者即可通过精心构造的请求包对使用Fastjson的服务器造成远程拒绝服务攻击，可导致服务器宕机。四影响范围产品Fastjson版本1.2.60以下版本组件Fastjson五漏洞复现经本地测试