久久综合人妻AV四区|国产乱伦手机av片免费|作爱视频在线观看免费|黄色免费三级片高清|国产黄色在线播放|久久精品丝袜噜噜丝袜|国模激情128p|欧美黄片免费视频|草碰日产人人一级爱|日韩欧美亚洲综合在线观看

近日，金山云安全應急響應中心監(jiān)測到Apache Unomi存在遠程代碼執(zhí)行漏洞。該漏洞編號為CVE-2020-13942，CVS評分10.0，風險等級為嚴重。

該漏洞危害嚴重，利用成本較低，且相關利用POC已公開，請使用了Apache Unomi的用戶盡快升級到安全版本，避免遭受惡意攻擊。

漏洞描述

Apache Unomi允許遠程攻擊者發(fā)送使用MVEL和OGNL表達式的惡意請求，從而導致可使用Unomi服務的特權進行遠程命令執(zhí)行。MVEL和OGNL表達式是Unomi應用中兩個不同內(nèi)部包中的表達式，攻擊者利用該漏洞可以成功繞過1.5.1版本中的安全控制，可以在兩個不同的位置造成RCE攻擊。 

Unomi服務通常與內(nèi)網(wǎng)中的各種數(shù)據(jù)存儲和數(shù)據(jù)分析系統(tǒng)集成。該漏洞通過公共端點觸發(fā)，使攻擊者能夠在易受攻擊的服務器上運行操作系統(tǒng)命令。易受攻擊的公共端點使Unomi成為入侵內(nèi)網(wǎng)的理想入口點，進一步利用可在內(nèi)網(wǎng)橫移，危害極大。

風險等級

嚴重

影響版本

Apache Unomi < 1.5.2

修復建議

1. 升級到Apache Unomi 1.5.2版本

2. 盡可能避免將數(shù)據(jù)放入表達式解釋器中

參考鏈接

[1]https://securityboulevard.com/2020/11/apache-unomi-cve-2020-13942-rce-vulnerabilities-discovered/?utm_source=dlvr.it&utm_medium=twitter

[2]http://unomi.apache.org/download.html

北京金山云網(wǎng)絡技術有限公司

2020/11/19