• 产品与解决方案
  • 行业解决方案
  • 服务
  • 支持
  • 合作伙伴
  • 新华三人才研学中心
  • 关于我们

漏洞库 V7-WAF-1.0.17 版本

【发布时间:2022-05-08】

附件下载

版本号
V7-WAF-1.0.17

MD5值
c6daae1ccf00147420ce5f6b696b93d8

更新时间
2022-05-05

更新攻击列表

新增重点规则:
------------------------------
46336 CVE-2022-22947_Spring_Cloud_Gateway_Actuator_API_SpEL表达式注入命令漏洞
---- Category: Vulnerability
---- Description:
---- Spring Cloud Gateway是Spring Cloud的一个全新项目,该项目是基于 Spring Framework 和 Spring Boot 构建的 API 网关,
---- 它旨在为微服务架构提供一种简单、有效、统一的 API 路由管理方式。其3.1.0及3.0.6版本(包含)以前存在一处SpEL表达式注入漏洞,
---- 当攻击者可以访问Actuator API的情况下,将可以利用该漏洞执行任意命令。

 

46522 CVE-2022-22963_Spring-Cloud-Function_SPEL表达式注入漏洞
---- Category: Vulnerability
---- Description:
---- Spring Cloud Function 是基于 Spring Boot 的函数计算框架,其抽象出所有传输细节和基础架构,允许开发人员保留所有熟悉的工具和流程,并专注于业务逻辑。
---- 该漏洞是由于Spring Cloud Function的RoutingFunction类未能正确处理用户发送的数据,
---- 导致其apply方法错误地将请求头中的spring.cloud.function.routing-expression的参数识别为SPEL表达式,
---- 未经身份验证的恶意攻击者通过发送带有恶意命令的请求数据,能够在目标服务器上执行任意代码。

 

46525 CVE-2022-22965_Spring_Framework_Spring-Bean远程代码执行漏洞(SpringShell_Spring4Shell)
---- Category: Vulnerability
---- Description:
---- Spring是Java EE编程领域的一个轻量级开源框架,提供了功能强大IOC、AOP及Web MVC等功能。在Spring框架的JDK9及以上版本中,
---- 远程攻击者可在满足特定条件的基础上,通过框架的参数绑定功能获取AccessLogValve对象并注入恶意字段值,触发pipeline机制,从而在任意路径下写入文件。

 

46571 CVE-2021-31805_Apache Struts2 S2-062远程命令执行漏洞
---- Category: Vulnerability
---- Description:
---- Apache Struts是美国阿帕奇(Apache)基金会的一个开源项目,是一套用于创建企业级Java Web应用的开源MVC框架,
---- 主要提供两个版本框架产品,Struts 1和Struts 2。Apache Struts 2.0.0版本至2.5.29版本存在安全漏洞,
---- 该漏洞源于使用\\%{…}语法强制OGNL求值,标签的一些属性仍然可以执行双重求值语法。攻击者利用该漏洞远程代码执行并导致安全性降低。

 
联系我们