!(https://oscimg.oschina.net/oscnet/435fc4cde65d4aee9a2efca3080cb89e.png)0x00事件背景ApacheSynapse是一个简单、轻量级的高性能企业服务总线(ESB)，它是在ApacheSoftwareFoun

一、概述近期，百度安全实验室反高级威胁团队截获多封利用MicrosoftOfficeWord漏洞进行攻击的恶意邮件。通过对邮件附件样本进一步分析发现，其利用的漏洞为澳洲国防部计算机应急响应中心提交的CVE20167193。该漏洞为RTF文件解析漏洞，成功利用该漏洞可以远程执行任意代码。我们拦截的样本双击打开后会在本地释放后门程序

1.前言近日，微步在线旗下微步情报局利用捕获到GitLab未授权远程命令执行漏洞（CVE202122205）在野利用，攻击成功后攻击者会植入挖矿木马进行挖矿。该漏洞无需进行身份验证即可进利用，危害极大。GitLab是GitLabInc.开发用于代码仓库管理系统的开源项目。由于GitLab广泛应用于多个企业，该漏洞影响范围较广。公众号后台回

本文作者：light（Ms08067实验室SRSPTEAM小组成员）!(https://oscimg.oschina.net/oscnet/fc8ed3d4ebfa70658b548bc1de2e976963e.png)jackson介绍Jackson是一个能够将java对象序列化为JSON字符串，也能够将JSON

ecshop漏洞于2018年9月12日被某安全组织披露爆出，该漏洞受影响范围较广，ecshop2.73版本以及目前最新的3.0、3.6、4.0版本都受此次ecshop漏洞的影响，主要漏洞是利用远程代码执行sql注入语句漏洞，导致可以插入sql查询代码以及写入代码到网站服务器里，严重的可以直接获取服务器的管理员权限，甚至有些网站使用的是虚拟主机，可以直接获取网

云栖号资讯：【点击查看更多行业资讯(https://www.oschina.net/action/GoToLink?urlhttps%3A%2F%2Fyqh.aliyun.com%2F%3Fcate%3D%25E8%25B5%2584%25E8%25AE%25AF)】在这里您可以找到不同行业的第一手的上云资讯，还在等什么，快来！!

本文借助CVE20209484Tomcat漏洞详细的介绍了本地和远程调试Tomcat源码。分析漏洞成因以及补丁修补情况，以及分析ysoserial反序列化链。0x01漏洞简介ApacheTomcat发布通告称修复了一个源于持久化Session的远程代码执行漏洞（CVE20209484）。漏洞条件比较苛刻：tomcat必须启

漏洞描述FreeType是一个流行的字体函数库。FreeType2.4.9之前版本在实现上存在多个堆缓冲区溢出漏洞、栈缓冲区溢出漏洞和拒绝服务漏洞，远程攻击者可利用这些漏洞执行任意代码或造成拒绝服务。解决方法以下是各Linux/Unix发行版系统针对此漏洞发布的安全公告，可以参考对应系统的安全公告修复该漏洞:Ubuntu\

1漏洞描述微软支持诊断工具（MSDT，MicrosoftSupportDiagnosticTool）是一种实用程序，用于排除故障并收集诊断数据，供专业人员分析和解决问题。MicrosoftOffice是由Microsoft(微软)公司开发的一套办公软件套装。常用组件有Word、Excel、PowerPoint等。2022

近日fastjson出现反序列化远程代码执行漏洞。天翼云提醒用户：请尽快采取措施进行排查与防护。漏洞描述5月23日，fastjson官方发布公告称在1.2.80及以下版本中存在新的反序列化风险，在特定条件下可绕过默认autoType关闭限制，从而反序列化有安全风险的类，攻击者利用该漏洞可实现在目标机器上的远程代码执行。fastjson是开源JSON解析库，它