2022-06
关于“Fastjson 反序列化远程代码执行漏洞”网络安全风险预警通报
2022-04
(CVE-2022-21449)一、概要政务云关注到 Oracle 官方发布 2022 年第一季度重要安全补丁公告,披露了在Oracle Java SE 特定的高版本中存在一处身份认证绕过漏洞( CVE-2022-21449 )。 ECDSA 是基于椭圆曲线的数字签名算法,在特定的 Java SE 高版本中的 ECDSA 签名校验机制存在缺陷,攻击者可以伪证书、签名、双因子认证等授权凭证,实现身份认证绕过。目前漏洞细节已公开,风险高。Java SE 是 Ja...
2022-04
近期,教育部组建专家组研制并发布了《学校教职员工疫情防控期间行为指引(试行)》,指导学校教职员工切实履行疫情防控责任。请全市教职员工认真学习,严格执行。详细内容:一成为“健康第一”理念的践行者新冠肺炎疫情深刻影响着学校的教学模式、生活方式和运行秩序。学校教职员工都是校园疫情防控的责任人、奉献者,也是自身健康的负责人、守护者,更是学生健康成长的引路人、促进者。教职员工全身心抗疫,同疫...
2022-04
一、概要政务云安全团队关注到到Spring Cloud官方发布安全公告,披露在Spring CloudFunction特定版本中存在SpEL表达式注入漏洞。未经身份认证的攻击者通过构造特定的数据包,在特定的HTTP请求头中注入恶意的SpEL表达式,最终实现远程任意代码执行。目前漏洞POC已公开,风险较高。Spring Cloud Function是基于Spring Boot的函数框架。政务云提醒使用Spring Cloud Function的用户及时安排自检并做好安全加固。二、威胁级别威胁...
2022-04
漏洞描述近日,亚信安全CERT监测发现Apache官方发布了Apache Struts2的风险通告,漏洞编号为CVE-2021-31805。该漏洞由于对CVE-2020-17530的修复不完整造成的,CVE-2020-17530漏洞是由于Struts2 会对某些标签属性(比如id) 的属性值进行二次表达式解析,因此当这些标签属性中使用了 %{x} 且 其中x 的值用户可控时,用户再传入一个 %{payload} 即可造成OGNL表达式执行。在CVE-2021-31805漏洞中,仍然存在部分标签属性会造成攻击...
2021-11
近日,发现Microsoft MSHTML 组件存在远程代码执行漏洞(漏洞编号为 CVE-2021-40444)。MSHTML是微软Windows操作系统 Internet Explorer浏览器的排版组件,用于快速实现网页浏览功能。 MSHTML 除应用于IE浏览器、IE内核浏览器外,还在Office的Word 、Excel和 PowerPoint文档中用来呈现 Web 托管内容。攻击者可利用该漏洞,通过构造包含恶意ActiveX 控件的 Microsoft Office 文件,诱导受害者打开文档,触发此漏洞,继而获得受害者...
电子邮件:wlzx@jnnu.edu.cn
服务时间:周一至周五:8:00--12:00; 14:30--18:00;法定节假日、寒暑假另行通知。
Copyright © 2017 集宁师范学院网络中心
