高危 | Apache Subversion Use-After-Free漏洞

Apache發布安全公告，修復了一個Apache Subversion中的Use-After-Free(UAF)漏洞。漏洞編號：CVE-2022-24070，漏洞威脅等級：高危，漏洞評分：7.5。

敏感文件通常指攜帶敏感信息的文件，最為常見的就是數據庫的配置文件、網站源碼備份、數據庫備份等，管理員為了方便下載，將源碼備份放置在 web 目錄，然后下載至本地備份，下載完之后忘記刪除，從而導致漏洞的出現。配置文件泄漏最為典型的就是 spring 框架的配置文件泄漏，常見路徑："/env"/actuator/env". /{sub}.zip {status=206} {type="application/octet-stream"}/{sub}.rar {status=206} {type="application/octet-stream"}/{sub}.tar.gz {status=206} {type="application/octet-stream"}/{sub}.tar.bz2 {status=206} {type="application/octet-stream"}/{sub}.tgz {status=206} {type="application/octet-stream"}/{sub}.7z {status=206} {type="application/octet-stream"}

RDP憑證本機RDP密碼抓取本機RDP密碼是一個我們常遇到的場景，通常使用mimikatz抓取RDP密碼。當系統為win10或2012R2以上時，默認在內存緩存中禁止保存明文密碼，這時抓取的明文密碼為空。上不了線的情況下，也可以在webshell中來dump內存，保存到本地解密即可。

MyBatis-Plus是一個 MyBatis 的增強工具，在 MyBatis 的基礎上只做增強不做改變，為簡化開發、提高效率而生。真實開發中，version（樂觀鎖），deleted、gmt_create、gem_mo

常在河邊走，哪能不濕鞋。自認為安全防范意識不錯，沒想到服務器被入侵挖礦的事情也能落到自己頭上。

 Apache Cassandra 因其可擴展性和靈活性而被組織廣泛使用。處理大量非結構化數據的能力和零故障轉移功能使其成為數據庫的最愛。但盡管數據庫功能強大，但其架構卻非常復雜。一個盲點可能會導致意外停機，或更糟糕的是應用程序崩潰。為了解鎖 Apache Cassandra 的無縫可操作性，管理員應該通過觀??察基礎設施的行為來保持領先。以下是您在監控 Apache Cassandra

攻擊者可能利用此漏洞獲取敏感信息或執行惡意代碼。漏洞概述  漏洞名稱Apache Dubbo多個反序列化漏洞漏洞編號CVE-2023-29234、CVE-2023-46279公開時間2023-12-15影響對象數量級十萬級奇安信評級高危CVSS 評分7.7、8.1威脅類型信息泄露、代碼執行利用可能性中POC狀態未公開在野利用狀態未發現EXP狀態未公開技術細節狀態未公開危害描述：

12月7日，Apache Struts2官方更新了一個存在于Apache Struts2中的遠程代碼執行漏洞（CVE-2023-50164）。

Apache Shiro開放重定向漏洞威脅通告

Apache 軟件基金會 (ASF)于 10 月 27 日披露了一個被追蹤為CVE-2023-46604的漏洞，允許有權訪問 ActiveMQ 消息代理的遠程攻擊者在受影響的系統上執行任意命令。