特别回顾丨2021十大Java漏洞

---

 

 

1.Log4j2 CVE-2021-44228 

远程命令执行漏洞

 

Apache Log4j2是一款优秀的Java日志框架，其中提供了Lookups机制，用于添加一些特殊值到日志中。由于解析顺序不当，导致攻击者可通过恶意请求，触发远程代码执行漏洞。

 

2.XStream 反序列化漏洞若干

 

XStream是一个常用的Java对象和XML相互转换的工具，攻击者通过构造恶意的XML文档，可绕过XStream的黑名单，触发反序列化，从而造成反序列化代码执行漏洞。

 

 

3.Weblogic 反序列化漏洞若干

 

WebLogic是美国Oracle公司出品的Java应用服务器，WebLogic是用于开发、集成、部署和管理大型分布式Web应用、网络应用和数据库应用。攻击者可以通过构造恶意请求，利用反序列化漏洞获取服务器权限。

 

 

4.Apache Druid 未授权

RCE CVE-2021-26919/CVE-2021-25646

 

CVE-2021-25646 Apache Druid是用Java编写的面向列的开源分布式数据存储，由于Apache Druid 默认情况下缺乏授权认证，攻击者可直接构造恶意请求执行任意代码，控制服务器。

 

 

5.Apache Shiro

权限绕过 CVE-2020-17523 中危

 

Apache Shiro是一个开源安全框架，拥有身份验证、授权、加密和会话管理的功能。低于1.7.1版本的ApacheShiro在与Spring框架结合使用时，在一定权限匹配规则下，攻击者可以通过构造特定的HTTP请求包绕过身份认证，从而访问未授权资源。

 

 

6.Apache OFBiz RMI

反序列化RCE CVE-2021-26295

 

Apache OFBiz是一个电子商务平台，用于构建大中型企业级、跨平台、跨数据库、跨应用服务器的多层、分布式电子商务类应用系统。攻击者可构造恶意请求，触发反序列化，从而造成任意代码执行。

 

 

7.Atlassian Confluence

远程代码执行漏洞 CVE2021-26084

 

Atlassian Confluence是Atlassian公司出品的专业的企业知识管理与协同软件，可用于构建企业文库等。攻击者可以在未登录的情况下构造恶意请求，造成任意代码执行。

 

 

8.Apache Dubbo 

远程代码执行漏洞若干

 

Apache Dubbo是一款应用广泛的Java RPC分布式服务框架，攻击者可以构造恶意请求造成远程代码执行漏洞。

 

 

9.Apache Tomcat Session

反序列化漏洞 CVE-2021-25329

 

Apache Tomcat是由Apache软件基金会属下Jakarta项目开发的Servlet容器，攻击者可以构造恶意请求绕过CVE-2020-9484补丁，造成反序列化代码执行漏洞。

​

10.致远OA 

ajaxAction formulaManager 文件上传漏洞

 

致远OA是一套办公协同软件，由于致远OA旧版本某些ajax接口存在未授权访问，攻击者通过构造恶意请求，可在无需登录的情况下上传恶意脚本文件，从而控制服务器。

 

11.Apache Flink 

CVE-2020-17518/CVE-2020-17519

 

Apache Flink是一个流式的数据流执行引擎，其针对数据流的分布式计算提供了数据分布、数据通信以及容错机制等功能。Flink 1.5.1引入了REST API，但其实现上存在多处缺陷，导致目录遍历和任意文件写入漏洞。