每周升级公告-2021-12-07
发布时间 2021-12-10新增事件
事件名称: | TCP_安全漏洞_Apache_ShenYu_Admin_未授权登录漏洞_攻击尝试[CVE-2021-37580][CNNVD-202111-1500] |
安全类型: | 非授权访问/权限绕过 |
事件描述: | 检测到源ip正在利用Apache_ShenYu_Admin的未授权登录漏洞,绕过JSONWebToken(JWT)安全认证,直接进入系统后台 |
更新时间: | 20211207 |
事件名称: | TCP_安全漏洞_Dubbo_Hessian2协议反序列化漏洞[CVE-2021-25641] |
安全类型: | 代码执行 |
事件描述: | 检测到源ip正在通过构造serializationid来进行未授权代码执行,通过Kryo、FST或者native-java等安全性较差的序列化方式进行反序列化代码执行;ApacheDubbo是一个分布式框架,致力于提供高性能透明化的RPC远程服务调用方案,以及SOA服务治理方案。ApacheDubbo在实际应用场景中主要负责解决分布式的相关需求。 |
更新时间: | 20211207 |
事件名称: | TCP_安全漏洞_Dubbo_Nashorn脚本远程代码执行漏洞[CVE-2021-30181] |
安全类型: | 代码执行 |
事件描述: | 检测到源ip在可能已经控制如ZooKeeper配置中心后,通过配置中心来构造恶意请求对Dubbo注入Nashorn脚本,造成远程代码执行;ApacheDubbo是一个分布式框架,致力于提供高性能透明化的RPC远程服务调用方案,以及SOA服务治理方案。ApacheDubbo在实际应用场景中主要负责解决分布式的相关需求。 |
更新时间: | 20211207 |
事件名称: | HTTP_Netgear-ProSAFE-Plus_JGS516PE_未验证远程代码执行漏洞[CVE-2020-26919][CNNVD-202010-350] |
安全类型: | 非授权访问/权限绕过 |
事件描述: | 检测到源IP主机正在利用CVE-2020-26919漏洞攻击目的IP主机。攻击成功,可远程执行任意命令。NetgearProSAFEPlusJGS516PE/GS116Ev2是美国网件(Netgear)公司的一款交换机。NetgearJGS516PEdevices2.6.0.43之前版本存在安全漏洞,该漏洞源于设备在功能级别上受到缺少访问控制。 |
更新时间: | 20211207 |
事件名称: | HTTP_安全漏洞_WordPress_XSS脚本注入漏洞[CVE-2019-16219][CNNVD-201909-549] |
安全类型: | XSS攻击 |
事件描述: | 检测到源IP设备正在利用Netgea路由器远程命令执行漏洞攻击目的IP设备。在NETGEARR7000上存在一个身份验证旁路安全漏洞。漏洞利用成功后,可以root权限执远程行代码。 |
更新时间: | 20211207 |
事件名称: | HTTP_安全漏洞_thinkcmf_后台代码执行漏洞[CVE-2019-7580][CNNVD-201902-163] |
安全类型: | 代码执行 |
事件描述: | 检测到源ip正在利用thinkcmf的后台代码执行漏洞,在分类管理页面创建分类别名时,写入恶意代码。ThinkCMF是一款支持Swoole的开源内容管理框架(CMF),基于ThinkPHP开发。 |
更新时间: | 20211207 |
事件名称: | HTTP_木马_Downloader_APT-C-23_连接_变种 |
安全类型: | 下载者木马 |
事件描述: | 检测到APT-C-23下载器木马试图连接远程服务器。源IP所在的主机可能被植入了APT-C-23下载器木马。APT-C-23下载器木马是一个功能非常强大的后门,运行后,可以完全控制被植入机器。允许攻击者完全控制被植入机器。 |
更新时间: | 20211207 |
事件名称: | HTTP_安全漏洞_DedeCMS_sys_verifies.php_代码注入漏洞[CVE-2018-9174][CNNVD-201804-087] |
安全类型: | 代码执行 |
事件描述: | DedeCms是免费的PHP网站内容管理系统。DeDeCMS5.7版本在存在sys_verifies.php代码注入漏洞,该漏洞源于对传入参数refiles过滤不严谨,导致攻击者可利用此漏洞执行任意代码。 |
更新时间: | 20211207 |
事件名称: | HTTP_安全漏洞_Phpcms_insdex.php_前台Getshell |
安全类型: | 代码执行 |
事件描述: | 检测到源ip可能正在利用Phpcms前台注册用户的界面,进行getshell操作,但目前规则无法准确判断是否getshell;;PHPCMS是一款网站管理软件。该软件采用模块化开发,支持多种分类方式,使用它可方便实现个性化网站的设计、开发与维护。 |
更新时间: | 20211207 |
事件名称: | HTTP_安全漏洞_Phpcms_insdex.php_后台Getshell |
安全类型: | 代码执行 |
事件描述: | 检测到源ip可能正在利用Phpcms后台页面,进行getshell操作(目前该规则无法准确判断是否已经getshell);PHPCMS是一款网站管理软件。该软件采用模块化开发,支持多种分类方式,使用它可方便实现个性化网站的设计、开发与维护。 |
更新时间: | 20211207 |
事件名称: | HTTP_安全漏洞_DedeCMS_stepselect_main.php_代码注入漏洞[CVE-2018-9175][CNNVD-201804-086] |
安全类型: | 代码执行 |
事件描述: | DedeCms是免费的PHP网站内容管理系统。DeDeCMS5.7版本在存在stepselect_main.php代码注入漏洞,该漏洞源于对传入参数egroup过滤不严谨,导致攻击者可利用此漏洞执行任意代码。 |
更新时间: | 20211207 |
事件名称: | HTTP_安全漏洞_DedeCMS_后台任意代码执行漏洞[CVE-2018-7700][CNNVD-201803-954] |
安全类型: | 代码执行 |
事件描述: | DedeCMS(织梦内容管理系统)是中国卓卓网络(Desdev)科技有限公司的一套开源的集内容发布、编辑、管理检索等于一体的PHP网站内容管理系统(CMS)。DesdevDedeCMS5.7版本中存在任意代码执行漏洞。远程攻击者可通过向tag_test_action.php文件发送‘partcode’参数利用该漏洞执行任意代码。 |
更新时间: | 20211207 |
事件名称: | HTTP_安全漏洞_VMware_Spring_Cloud_Netflix_代码执行漏洞[CVE-2021-22053][CNNVD-202111-1645] |
安全类型: | 代码执行 |
事件描述: | SpringCloudNetflix是一套分布式服务框架的封装,包括服务的发现和注册,负载均衡、断路器、REST客户端、请求路由等。该漏洞是由于VMwareSpringCloud在同时使用spring-cloud-netflix-hystrix-dashboard和spring-boot-starter-thymeleaf的应用程序时,公开了在解析视图模板期间执行请求URI路径中提交代码的方法。当在‘/hystrix/monitor;[user-provideddata]`上发出请求时,`hystrix/monitor`后面的路径元素将被识别为SpringEL表达式,从而导致代码执行。 |
更新时间: | 20211207 |
事件名称: | HTTP_安全漏洞_DedeCMS_远程代码执行漏洞 |
安全类型: | 代码执行 |
事件描述: | DedeCMS(织梦内容管理系统)是中国卓卓网络(Desdev)科技有限公司的一套开源的集内容发布、编辑、管理检索等于一体的PHP网站内容管理系统(CMS)。DedecmsV5.7SP2版本中的tpl.php中存在代码执行漏洞,攻击者可以通过该漏洞在增加新标签中上传木马,获取webshell。该漏洞利用需要登录后台,并且后台的账户权限是管理员权限。 |
更新时间: | 20211207 |
事件名称: | HTTP_安全漏洞_MacCms8.X_远程代码执行漏洞 |
安全类型: | 代码执行 |
事件描述: | 魅魔电影程序(MaccmsPHP)是一套采用PHP/MySQL数据库运行的全新且完善的强大视频电影系统。完美支持众多视频网站和高清播放器(youku,tudou,qvod,gvod等),完全免费开源。该漏洞产生原因为过滤不严谨导致攻击者可以直接在内置模板中注入恶意代码。 |
更新时间: | 20211207 |
事件名称: | HTTP_爬虫Bot访问 |
安全类型: | 网页爬虫 |
事件描述: | 检测到爬虫Bot对目的IP主机的web访问,可能在对目的IP主机进行页面爬取。 |
更新时间: | 20211207 |
事件名称: | HTTP_安全漏洞_TP-LINK_TL-WR840N_EU(V5)_远程命令执行漏洞[CVE-2021-41653][CNNVD-202111-1211] |
安全类型: | 命令执行 |
事件描述: | TP-LINKTL-WR840N是一款无线路由器,信道数为13,支持VPN功能。TP-LINKTL-WR840NEU(V5)Router的PING功能存在远程命令执行漏洞。攻击者可利用该漏洞通过IP地址中特制的有效载荷执行远程命令。 |
更新时间: | 20211207 |
事件名称: | HTTP_安全漏洞_海康威视IP摄像机/NVR_命令注入漏洞[CVE-2021-36260][CNNVD-202109-1602] |
安全类型: | 命令执行 |
事件描述: | 海康威视IP摄像机/NVR设备固件中存在一个未认证命令注入漏洞,由于对输入参数校验不充分,攻击者可以发送带有恶意命令的报文到受影响设备,成功利用此漏洞可以导致命令执行。海康威视已发布版本修复该漏洞,该漏洞会影响IP摄像头和NVR设备固件,其中包括2021年6月的最新固件以及2006年发布的固件。 |
更新时间: | 20211207 |
修改事件
事件名称: | HTTP_安全扫描_WEB扫描器行为 |
安全类型: | 网络扫描 |
事件描述: | 检测到源IP地址的主机正在使用WEB扫描工具(如:sqlmap、nessus等)对目的IP地址进行漏洞扫描。WEB扫描器通常是攻击者用来做服务扫描、漏洞测试等。通过漏洞扫描,可以自动快速探测一些常见漏洞情况,当存在漏洞时便于后续进行利用攻击。 |
更新时间: | 20211207 |