无码一区二区三区,亚洲精品久久久久久一区二区,好吊视频一区二区三区,亚洲精品一区中文字幕乱码

官方公告

了解金山云最新公告

公告 > 安全公告 > 【風(fēng)險(xiǎn)通告】Apache Unomi遠(yuǎn)程代碼執(zhí)行
【風(fēng)險(xiǎn)通告】Apache Unomi遠(yuǎn)程代碼執(zhí)行

2020-11-19 00:00:00

近日,金山云安全應(yīng)急響應(yīng)中心監(jiān)測(cè)到Apache Unomi存在遠(yuǎn)程代碼執(zhí)行漏洞。該漏洞編號(hào)為CVE-2020-13942,CVS評(píng)分10.0,風(fēng)險(xiǎn)等級(jí)為嚴(yán)重。


該漏洞危害嚴(yán)重,利用成本較低,且相關(guān)利用POC已公開(kāi),請(qǐng)使用了Apache Unomi的用戶盡快升級(jí)到安全版本,避免遭受惡意攻擊。



漏洞描述


Apache Unomi允許遠(yuǎn)程攻擊者發(fā)送使用MVEL和OGNL表達(dá)式的惡意請(qǐng)求,從而導(dǎo)致可使用Unomi服務(wù)的特權(quán)進(jìn)行遠(yuǎn)程命令執(zhí)行。MVEL和OGNL表達(dá)式是Unomi應(yīng)用中兩個(gè)不同內(nèi)部包中的表達(dá)式,攻擊者利用該漏洞可以成功繞過(guò)1.5.1版本中的安全控制,可以在兩個(gè)不同的位置造成RCE攻擊。 


Unomi服務(wù)通常與內(nèi)網(wǎng)中的各種數(shù)據(jù)存儲(chǔ)和數(shù)據(jù)分析系統(tǒng)集成。該漏洞通過(guò)公共端點(diǎn)觸發(fā),使攻擊者能夠在易受攻擊的服務(wù)器上運(yùn)行操作系統(tǒng)命令。易受攻擊的公共端點(diǎn)使Unomi成為入侵內(nèi)網(wǎng)的理想入口點(diǎn),進(jìn)一步利用可在內(nèi)網(wǎng)橫移,危害極大。


風(fēng)險(xiǎn)等級(jí)

嚴(yán)重


影響版本

Apache Unomi < 1.5.2


修復(fù)建議


1. 升級(jí)到Apache Unomi 1.5.2版本

2. 盡可能避免將數(shù)據(jù)放入表達(dá)式解釋器中



參考鏈接


[1]https://securityboulevard.com/2020/11/apache-unomi-cve-2020-13942-rce-vulnerabilities-discovered/?utm_source=dlvr.it&utm_medium=twitter

[2]http://unomi.apache.org/download.html





北京金山云網(wǎng)絡(luò)技術(shù)有限公司

2020/11/19



金堂县| 平乐县| 获嘉县| 丽江市| 清流县| 策勒县| 开阳县| 寿阳县| 宣武区| 剑川县| 林西县| 筠连县| 旬阳县| 靖州| 拉萨市| 连平县| 东兰县| 岳阳市| 清水县| 独山县| 九寨沟县| 福海县| 改则县| 富平县| 湘潭县| 贵德县| 临江市| 盐源县| 沭阳县| 郓城县| 金沙县| 景宁| 巴彦淖尔市| 重庆市| 西乌珠穆沁旗| 北流市| 宣威市| 通海县| 汕尾市| 康平县| 石门县|