高危漏洞

cover

CVE-2023-21839 WebLogic Server RCE分析

WebLogic是美国Oracle公司出品的一个application server，确切的说是一个基于JAVAEE架构的中间件，WebLogic是用于开发、集成、部署和管理大型分布式Web应用、网络应用和数据库应用的Java应用服务器。将Java的动态功能和Java Enterprise标准的安全性引入大型网络应用的开发、集成、部署和管理之中。

星阑科技
2023-04-04 14:00:17

3895829次阅读 1

cover

YApi <1.12.0 远程命令执行漏洞

实验室团队开发出一款自动化Web/API漏洞Fuzz的命令行扫描工具（工具地址：https://github.com/StarCrossPortal/scalpel）。

星阑科技
2022-12-02 14:30:04

3310120次阅读

cover

CVE-2022-42889 Apache Commons Text RCE漏洞分析

最近一直在对刚研发出来的自动化Web/API漏洞Fuzz的命令行扫描工具进行维护更新（工具地址：https://github.com/StarCrossPortal/scalpel），目前扫描工具已更新至第三个版本，新增了5条2022年CVE漏洞POC，修复了例如Content-Type和body类型不一致等问题。

星阑科技
2022-11-30 14:30:43

1023891次阅读

cover

CVE-2022-41852 Apache Commons Jxpath命令执行漏洞分析

Apache Commons JXPath是美国阿帕奇（Apache）基金会的一种 XPath 1.0 的基于 Java 的实现。JXPath 为使用 XPath 语法遍历 JavaBeans、DOM 和其他类型的对象的图形提供了 API。

星阑科技
2022-11-01 10:30:41

390686次阅读

cover

CVE-2022-25237 Bonitasoft Platform RCE漏洞分析

Bonitasoft 是一个业务自动化平台，可以更轻松地在业务流程中构建、部署和管理自动化应用程序；Bonita 是一个用于业务流程自动化和优化的开源和可扩展平台。

星阑科技
2022-10-17 14:30:21

276906次阅读

cover

CVE-2022-24112 Apache APISIX 远程代码执行漏洞

攻击者可以向batch-requests插件发送请求来绕过管理API的IP限制。

星阑科技
2022-10-10 14:30:14

225339次阅读

cover

CVE-2022-34916 Apache Flume 远程代码执行漏洞分析

Apache Flume 是一个分布式的，可靠的，并且可用于高效地收集，汇总和移动大量日志数据的软件。

星阑科技
2022-09-26 10:30:03

196713次阅读

cover

CVE-2022-22978 Spring-security 认证绕过漏洞分析和漏洞挖掘思考

在此之前，已经对CVE-2022-32532 Apache Shiro RegExPatternMatcher 认证绕过漏洞进行了分析，它和CVE-2022-22978漏洞产生原理上，本质是一样的。在分析这两个漏洞后，结合今年kcon议题《自动化API漏洞Fuzz实战》，产生了对漏洞挖掘关注点的一些思考。

星阑科技
2022-09-08 14:30:26

281432次阅读

cover

VMware 系列产品之身份验证绕过和JDBC注入漏洞分析

在此前分析了CVE-2022-22972 VMware Workspace ONE Access和CVE-2022-22954 VMware Workspace ONE Access SSTI RCE之后，发现当时的安全公告中同时披露了很多cve漏洞，其中就包括CVE-2022-22955和CVE-2022-22957，之前漏洞环境也一直还在，也正好再学习分析一波。

星阑科技
2022-08-29 14:30:23

185326次阅读

cover

CVE-2022-0540 Jira身份验证绕过漏洞分析

在上篇分析CVE-2022-26135Atlassian Jira Mobile Plugin SSRF漏洞之后，发现在此之前，jira也曾爆出过身份验证绕过漏洞，CVE编号为cve-2022-0540。趁着环境还热乎，对其产生的原理和代码进行一波分析和学习。

星阑科技
2022-08-22 14:30:39

221091次阅读