高危 | Apache Subversion Use-After-Free漏洞

Apache发布安全公告，修复了一个Apache Subversion中的Use-After-Free(UAF)漏洞。漏洞编号：CVE-2022-24070，漏洞威胁等级：高危，漏洞评分：7.5。

敏感文件通常指携带敏感信息的文件，最为常见的就是数据库的配置文件、网站源码备份、数据库备份等，管理员为了方便下载，将源码备份放置在 web 目录，然后下载至本地备份，下载完之后忘记删除，从而导致漏洞的出现。配置文件泄漏最为典型的就是 spring 框架的配置文件泄漏，常见路径："/env"/actuator/env". /{sub}.zip {status=206} {type="application/octet-stream"}/{sub}.rar {status=206} {type="application/octet-stream"}/{sub}.tar.gz {status=206} {type="application/octet-stream"}/{sub}.tar.bz2 {status=206} {type="application/octet-stream"}/{sub}.tgz {status=206} {type="application/octet-stream"}/{sub}.7z {status=206} {type="application/octet-stream"}

RDP凭证本机RDP密码抓取本机RDP密码是一个我们常遇到的场景，通常使用mimikatz抓取RDP密码。当系统为win10或2012R2以上时，默认在内存缓存中禁止保存明文密码，这时抓取的明文密码为空。上不了线的情况下，也可以在webshell中来dump内存，保存到本地解密即可。

MyBatis-Plus是一个 MyBatis 的增强工具，在 MyBatis 的基础上只做增强不做改变，为简化开发、提高效率而生。真实开发中，version（乐观锁），deleted、gmt_create、gem_mo

常在河边走，哪能不湿鞋。自认为安全防范意识不错，没想到服务器被入侵挖矿的事情也能落到自己头上。

 Apache Cassandra 因其可扩展性和灵活性而被组织广泛使用。处理大量非结构化数据的能力和零故障转移功能使其成为数据库的最爱。但尽管数据库功能强大，但其架构却非常复杂。一个盲点可能会导致意外停机，或更糟糕的是应用程序崩溃。为了解锁 Apache Cassandra 的无缝可操作性，管理员应该通过观​​察基础设施的行为来保持领先。以下是您在监控 Apache Cassandra

攻击者可能利用此漏洞获取敏感信息或执行恶意代码。漏洞概述  漏洞名称Apache Dubbo多个反序列化漏洞漏洞编号CVE-2023-29234、CVE-2023-46279公开时间2023-12-15影响对象数量级十万级奇安信评级高危CVSS 评分7.7、8.1威胁类型信息泄露、代码执行利用可能性中POC状态未公开在野利用状态未发现EXP状态未公开技术细节状态未公开危害描述：

12月7日，Apache Struts2官方更新了一个存在于Apache Struts2中的远程代码执行漏洞（CVE-2023-50164）。

Apache Shiro开放重定向漏洞威胁通告

Apache 软件基金会 (ASF)于 10 月 27 日披露了一个被追踪为CVE-2023-46604的漏洞，允许有权访问 ActiveMQ 消息代理的远程攻击者在受影响的系统上执行任意命令。