主要观点总结
本文主要介绍了四个关于不同软件系统的漏洞详情,包括泛微E-COLOGY的SQL注入漏洞、JumpServer的多个高危漏洞、Nacosderby接口的SQL注入导致的RCE漏洞以及OracleWebLogicServer的远程代码执行漏洞。文章还提供了针对这些漏洞的修复方案和临时缓解措施。
关键观点总结
关键观点1: 泛微E-COLOGY存在SQL注入漏洞
该漏洞允许远程未授权攻击者获取敏感信息,并可能进一步获取目标系统权限。影响版本为小于10.64.1的版本。
关键观点2: JumpServer存在多个高危漏洞
其中CVE-2024-40628和CVE-2024-40629漏洞允许攻击者读取和写入celery容器中的任意文件。影响版本为v3.0.0至v3.10.11。临时缓解措施是关闭作业中心功能。
关键观点3: Nacosderby接口存在SQL注入导致RCE漏洞
攻击者可利用此漏洞执行恶意SQL,加载恶意jar并注册函数,随后在未授权条件下利用derby sql注入漏洞(CVE-2021-29442)执行恶意代码。影响版本为nacos@(-∞, 2.4.0)和com.alibaba.nacos:nacos-config@(-∞, 2.4.0)。
关键观点4: OracleWebLogicServer远程代码执行漏洞
未经身份验证的攻击者可以通过T3或IIOP协议来利用此漏洞执行任意代码。影响版本为weblogic_server@[12.2.1.4.0, 14.1.1.0.0]。
文章预览
摘要 以下内容,均摘自于互联网,由于传播,利用此文所提供的信息而造成的任何直接或间接的后果和损失,均由使用者本人负责,雷神众测以及文章作者不承担任何责任。 雷神众测拥有该文章的修改和解释权。如欲转载或传播此文章,必须保证此文章的副本,包括版权声明等全部内容。声明雷神众测允许,不得任意修改或增减此文章内容,不得以任何方式将其用于商业目的。 目录 1.泛微 E-COLOGY存在SQL注入漏洞 2.JumpServer 存在多个高危漏洞 3.Nacos derby 接口SQL注入导致RCE漏洞 4.Oracle WebLogic Server 远程代码执行漏洞 漏洞详情 1. 泛微 E-COLOGY存在SQL注入漏洞 漏洞介绍: 泛微E-COLOGY是一款由中国泛微软件系统股份有限公司开发的企业协同管理软件,为中大型组织创建全新的高效协同办公环境,智能语音办公,简化软件操作界面、身份认证、电子签名、电子
………………………………
