特别回顾丨2021十大Java漏洞

重磅盘点

2021十大JAVA漏洞

1.Log4j2 CVE-2021-44228

远程命令执行漏洞

Apache Log4j2是一款优秀的Java日志框架，其中提供了Lookups机制，用于添加一些特殊值到日志中。由于解析顺序不当，导致攻击者可通过恶意请求，触发远程代码执行漏洞。

2.XStream 反序列化漏洞若干

XStream是一个常用的Java对象和XML相互转换的工具，攻击者通过构造恶意的XML文档，可绕过XStream的黑名单，触发反序列化，从而造成反序列化代码执行漏洞。

3.Weblogic 反序列化漏洞若干

WebLogic是美国Oracle公司出品的Java应用服务器，WebLogic是用于开发、集成、部署和管理大型分布式Web应用、网络应用和数据库应用。攻击者可以通过构造恶意请求，利用反序列化漏洞获取服务器权限。

4.Apache Druid 未授权

RCE CVE-2021-26919/CVE-2021-25646

CVE-2021-25646 Apache Druid是用Java编写的面向列的开源分布式数据存储，由于Apache Druid 默认情况下缺乏授权认证，攻击者可直接构造恶意请求执行任意代码，控制服务器。

5.Apache Shiro<1.7.1

权限绕过 CVE-2020-17523 中危

Apache Shiro是一个开源安全框架，拥有身份验证、授权、加密和会话管理的功能。低于1.7.1版本的ApacheShiro在与Spring框架结合使用时，在一定权限匹配规则下，攻击者可以通过构造特定的HTTP请求包绕过身份认证，从而访问未授权资源。

6.Apache OFBiz RMI

反序列化RCE CVE-2021-26295

Apache OFBiz是一个电子商务平台，用于构建大中型企业级、跨平台、跨数据库、跨应用服务器的多层、分布式电子商务类应用系统。攻击者可构造恶意请求，触发反序列化，从而造成任意代码执行。

7.Atlassian Confluence

远程代码执行漏洞 CVE2021-26084

Atlassian Confluence是Atlassian公司出品的专业的企业知识管理与协同软件，可用于构建企业文库等。攻击者可以在未登录的情况下构造恶意请求，造成任意代码执行。

8.Apache Dubbo

远程代码执行漏洞若干

Apache Dubbo是一款应用广泛的Java RPC分布式服务框架，攻击者可以构造恶意请求造成远程代码执行漏洞。

9.Apache Tomcat Session

反序列化漏洞 CVE-2021-25329

Apache Tomcat是由Apache软件基金会属下Jakarta项目开发的Servlet容器，攻击者可以构造恶意请求绕过CVE-2020-9484补丁，造成反序列化代码执行漏洞。

10.致远OA

ajaxAction formulaManager 文件上传漏洞

致远OA是一套办公协同软件，由于致远OA旧版本某些ajax接口存在未授权访问，攻击者通过构造恶意请求，可在无需登录的情况下上传恶意脚本文件，从而控制服务器。

11.Apache Flink

CVE-2020-17518/CVE-2020-17519

Apache Flink是一个流式的数据流执行引擎，其针对数据流的分布式计算提供了数据分布、数据通信以及容错机制等功能。Flink 1.5.1引入了REST API，但其实现上存在多处缺陷，导致目录遍历和任意文件写入漏洞。