Apache

本篇文章主要叙述复现该漏洞的过程中踩过的坑。
从2.4.17到 2.4.28版本,Apache HTTP 发现存在本地提权漏洞,原因是数组访问越界导致任意函数调用。
从2.4.17(2015年10月9日)到2.4.38(2019年4月1日)的Apache HTTP版本中,存在着一个可以通过数组越界调用任意构造函数的提权漏洞。
4月3日,360-CERT监测到开源软件Apache官方发布2.4.39版本的更新,其中修复了一个编号为CVE-2019-0211的提权漏洞,据分析,该漏洞影响严重。
虽然一个命令注入漏洞通常是简单明了的,但是在本文你将看到要实现完整的代码执行或命令注入仍需克服一些障碍。这是Java执行系统命令的方法以及Apahce Tika代码自身的特性导致的。
CVE-2018-11776/S2-057,Struts2出现安全漏洞,可能会导致远程代码执行。
在 2017 年 12 月 10 日,Apache 官方公开了关于 Apache Synapse 存在严重漏洞(CVE-2017-15708),可导致远程代码执行,360CERT 随后对该漏洞进行了分析验证。