一、前言 XStream是常用的Java类库,用来将对象序列化成XML (JSON)或反序列化为对象。 二、漏洞简介 Xstream 1.4.10版本存在反序列化漏洞CVE-2013-7285补丁绕过...
黑客新闻 黑客新闻 黑客新闻WORDPRESS IMAGE 远程代码执行漏洞分析
0x01 概述 2 月 20 日,RIPS 披露了Wordpress内核Image模块相关的一个高危漏洞,该漏洞由目录穿越和文件包含组成,最终可导致远程代码执行,目前还没有 PoC 披露。 从RIPS...
黑客新闻思科Prime企业局域网管理器远程代码执行 漏洞编号CVE-2019-1821
前言 不是所有目录遍历漏洞危害都相同,取决于遍历的用法以及用户交互程度。正如你将看到,本文的这个漏洞类在代码中非常难发现,但可以造成巨大的影响。 这个漏洞存在于思科Prime Infrastructu...
黑客新闻CVE-2019-11815 Linux内核远程代码执行漏洞
安全专家在LinuxKernel5.0.8之前发现了一个竞争条件漏洞(CVE-2019-11815),它将系统暴露给远程代码执行。 基于5.0.8之前的内核版本的Linux系统受到竞争条件漏洞的影响,...
黑客新闻SQLite远程代码执行漏洞 CVE-2019-5018
思科Talos的研究人员在SQLite中发现了一个释放后使用的漏洞,攻击者可利用该漏洞远程执行受影响设备上的代码。 思科Talos专家在SQLite中发现了一个释放后使用的漏洞,攻击者可利用该漏洞远程...
黑客新闻BroadcomWiFi驱动程序漏洞 允许攻击者远程执行代码发送DoS攻击
专家警告BroadcomWiFi芯片组驱动程序中的安全漏洞可能允许潜在的攻击者远程执行任意代码并触发DoS。 根据DHS/CISA警报和CERT/CC漏洞记录,BroadcomWiFi芯片组驱动程序受...