近日，國(guó)家信息安全漏洞共享平台（CNVD）收錄了Jenkins存在的多個漏洞（CNVD-2017-05551、CNVD-2017-05570、CNVD-2017-05571、CNVD-2017-05572分别對(duì)應CVE-2017-1000353、CVE-2017-1000354、CVE-2017-1000355、CVE-2017-1000356）。攻擊者利用上述漏洞，可在受影響的應用程序的上下文中執行任意代碼、冒充Jenkins用戶或造成(chéng)Jenkins服務器拒絕服務等威脅。 一、漏洞情況分析Je…

近日，國(guó)家信息安全漏洞共享平台（CNVD）收錄了CNVD白帽子（ID：ayound）報送的Jackson框架enableDefaultTyping方法反序列化漏洞（CNVD-2017-04483）。攻擊者利用漏洞可在服務器主機上執行任意代碼或系統指令，取得網站服務器的控制權 一、漏洞情況分析Jackson是一套開(kāi)源的java序列化與反序列化工具框架，可將(jiāng)java對(duì)象序列化爲xml和json格式的字符串及提供對(duì)應的反序列化過(guò)程。由于其解析效率較高，目前是Spring MVC中内置使用的解析方式。4…