JAVA代审中基础环境的配置与调试

漏洞描述

​ CVE-2022-0847是自 5.8 以来Linux内核中的一个漏洞，攻击者利用该漏洞可以覆盖任意只读文件中的数据。这样将普通的权限提升至root权限，因为非特权进程可以将代码注入到根进程。

​ CVE-2022-0847类似于 CVE-2016-5195 “Dirty Cow”（脏牛提权），而且容易被利用，漏洞作者将其命名为Dirty Pipe

Apache APISIX简介

Apache APISIX 是一个动态、实时、高性能的 API 网关， 提供负载均衡、动态上游、灰度发布、服务熔断、身份认证、可观测性等丰富的流量管理功能。Apache APISIX Dashboard 使用户可通过前端界面操作 Apache APISIX。

git目前世界上最先进的分布式版本控制系统。

Spring Cloud Gateway是Spring中的一个API网关。其3.1.0及3.0.6版本（包含）以前存在一处SpEL表达式注入漏洞，当攻击者可以访问Actuator API的情况下，将可以利用该漏洞执行任意命令。

漏洞描述

Zabbix对客户端提交的Cookie会话存在不安全的存储方式，导致在启动SAML SSO认证模式的前提下，恶意用户可通过构造特殊请求绕过认证，获取管理员权限，进而可实现RCE。

Clash：一个 Go 语言开发的多平台代理客户端

漏洞简介

上海贝锐信息科技股份有限公司的向日葵远控软件存在远程代码执行漏洞（CNVD-2022-10270/CNVD-2022-03672），影响Windows系统使用的个人版和简约版，攻击者可利用该漏洞获取服务器控制权。

环境地址

1
2
3

61.147.171.107:10081
61.147.171.107:10082
61.147.171.107:10083

前期log4j2存在的远程代码执行漏洞（CVE-2021-44228）引起了轩然大波。昨天上网冲浪发现，checkmark研究员YANIV NIZRY公布了新版本log4j2 2.17.0中存在基于JDBCAPPENDER配置文件的任意命令执行。且该漏洞已经公布其CVE编号为CVE-2021-44832。