背景　　在2023年8月23日，Group-IB威胁情报机构发布了一份报告，详细介绍了WinRAR任意执行漏洞CVE-2023-38831的攻击活动。根据该报告，这个漏洞最早于2023年4月被攻击者利用，然后在2023年7月被Group-IB威胁情报机构发现并报告给了RARLAB。最终，RARLAB在2023年8月2日发布了修复了CVE-2023-38831漏洞的正式版本WinRARv6.23。漏洞简介　　本次漏洞影响范围为低于WinRARv6.23的所有版本，以下是该漏洞的基本信息：(图源：WinRAR代码执行漏洞(CVE-2023-38831)安全风险通告-安全内参|决策者的网络安全知

Redis未授权--沙箱绕过--(CNVD-2015-07557)&&(CNVD-2019-21763)&&(CVE-2022-0543)环境复现采用Vulfocus靶场进行环境复现，官网docker搭建有问题，具体搭建教程参考vulfocus不能同步的解决方法/vulfocus同步失败CNVD-2015-07557未授权访问影响版本Redis漏洞探测使用端口扫描工具等探测到目标主机使用了Redis服务对于Redis服务的未授权访问，首先需要确认Redis未授权是否存在，使用Redis数据库客户端进行连接测试，如何没有密码，即未授权漏洞存在。客户端连接工具AnotherRedisDesktop

文章目录0.前言漏洞spring-kafka介绍1.参考文档2.基础介绍3.解决方案3.1.升级版本3.2.替代方案4.Springkafka使用教程代码示例0.前言背景：公司项目扫描到Spring-Kafka上使用通配符模式匹配进行的安全绕过漏洞CVE-2023-20873漏洞中等风险|2023年8月23日|CVE-2023-34040在SpringforApacheKafka3.0.9及更早版本以及2.9.10及更早版本中，存在可能的反序列化攻击向量，但只有在应用了不常见的配置时才会出现。攻击者必须在反序列化异常记录头中构造一个恶意序列化对象。spring-kafka介绍SpringKaf

文章目录0.前言1.参考文档2.基础介绍描述如果满足以下任一条件，应用程序就不会有太大风险：受影响的Spring产品和版本3.解决方案3.1.升级版本3.2.替代方案0.前言背景：公司项目扫描到SpringCloudFoundry上使用通配符模式匹配进行的安全绕过漏洞CVE-2023-20873CVE-2023-20873：在CloudFoundry上使用通配符模式匹配进行的安全绕过高风险|2023年5月18日|CVE-2023-20873在SpringBoot版本3.0.0-3.0.5,2.7.0-2.7.10,2.6.0-2.6.14,2.5.0-2.5.14以及旧版支持的版本中，部署在C

首先我们了解下这个漏洞是什么？MyBatis-PlusTenantPlugin是MyBatis-Plus的一个为多租户场景而设计的插件，可以在SQL中自动添加租户ID来实现数据隔离功能。MyBatis-PlusTenantPlugin3.5.3.1及之前版本由于TenantHandler#getTenantId方法在构造SQL表达式时默认情况下未对tenant（租户）的ID值进行过滤，当程序启用了TenantPlugin并且tenant（租户）ID可由外部用户控制时，攻击者可利用该漏洞进行sql注入，接管程序的数据库或向操作系统发送恶意命令。用户可通过对租户ID进行过滤缓解此漏洞。影响版本解决

office的资源文件在下面的百度网盘中，有需要的伙伴可以自己下载工具资源office2016安装包+KMSpico工具（有问题欢迎评论提问，我有时间会解答）链接:https://pan.baidu.com/s/1CmjxehukEHBiFzgLPtjUCQ密码:09ej安装教程由于部分限制原因我放到了有道云笔记中，链接如下office2016安装教程注意事项：安装前需要先检查下面几点，防止出现错误1、Office2016会自动安装在c盘，保证剩余10个以上，当然实际安装所占也就3个g左右..2、选择与自己电脑操作系统位数匹配的位数安装，64位或者32位..3、如果之前安装的有，卸载之前的Of

安全之安全(security²)博客目录导读 ATF(TF-A)安全通告汇总目录一、ATF(TF-A)安全通告TFV-7 (CVE-2018-3639)二、静态缓解（Staticmitigation）三、动态缓解（Dynamicmitigation）一、ATF(TF-A)安全通告TFV-7 (CVE-2018-3639)TitleTF-A披露基于cache前瞻执行漏洞变种4CVEIDCVE-2018-3639Date21May2018(Updated7June2018)VersionsAffectedAll,uptoandincludingv1.5ConfigurationsAffectedA

CVE-2023-28432MiniO信息泄露漏洞MiniO是一个基于ApacheLicensev2.0开源协议的对象存储服务。它兼容亚马逊S3云存储服务接口，非常适合于存储大容量非结构化的数据，例如图片、视频、日志文件、备份数据和容器/虚拟机镜像等在集群部署的Minio中，未授权的攻击者可发送恶意的HTTP请求来获取Minio环境变量中的敏感信息（MINIO_SECRET_KEY和MINIO_ROOT_PASSWORD），可能导致攻击者以管理员权限登录Minio，分布式部署的所有用户都会受到影响，单机用户没有影响Fofa：title="MinIOBrowser"||banner="MinIO

文章目录0x01漏洞介绍0x02影响版本0x03漏洞编号0x04漏洞查询0x05漏洞环境0x06漏洞复现0x07修复建议摘抄0x01漏洞介绍ApacheSolr是一个开源的搜索服务器。Solr使用Java语言开发，主要基于HTTP和ApacheLucene实现。此次漏洞出现在ApacheSolr的DataImportHandler，该模块是一个可选但常用的模块，用于从数据库和其他源中提取数据。它具有一个功能，其中所有的DIH配置都可以通过外部请求的dataConfig参数来设置。由于DIH配置可以包含脚本，因此攻击者可以通过构造危险的请求，从而造成远程命令执行。0x02影响版本ApacheSo

1.查看当前openssl和openssh版本opensslversion-assh-V2.安装并启用telnet服务（防止升级过程无法连接机器）yum-yinstalltelnet-serverxinetd设置开机自启systemctlenablexinetd.servicesystemctlenabletelnet.socket启动服务systemctlstarttelnet.socketsystemctlstartxinetd3.配置防火墙法一：直接对外开发23端口（高风险） #--permanent为永久开启，不加此参数重启防火墙后规则不保存firewall-cmd--add-port