- 综合排序
- 最热优先
- 最新优先
- 来自专栏洛米唯熊
Apache Freemarker模板的FusionAuth RCE通告
0x00:描述 在FusionAuth仪表板中的模板编辑功能(网站模板或电子邮件模板),可以使用Apache FreeMarker Expression语言在基础操作系统上执行命令。 FusionAuth是现代的访问管理开源应用程序,可以与多种技术和平台集成。可以通过管理仪表板以多种方式配置和自定义FusionAuth,为此,特权帐户可以修改模板。 FusionAuth模板实际上是Apache Freemarker模板,由Apache Freemarker模板引擎解释。 0x01:范围 FusionAuth 1.10以及更低版本 0x02:编号 CVE-2020-7799 0x03:验证 ? ? ? 0x04:修复 该漏洞已在FusionAuth的1.11版本中修复 0x05:参考 https: //lab.mediaservice.net/advisory/2020-03-fusionauth.txt
1K10发布于 2020-02-17 - 来自专栏Timeline Sec
CVE-2020-7799:FreeMarker模板FusionAuth RCE复现
本文字数:718 阅读时长:2~3min 声明:请勿用作违法用途,否则后果自负 0x01 简介 FusionAuth是一个免费的身份管理平台,安装简单,易于集成。 FusionAuth提供登录、注册、MFA、SSO、电子邮件模板、本地化、密码控制、强哈希、网络挂钩、基于角色的访问控制等功能。 0x03 影响版本 FusionAuth <= 1.11.0 0x04 环境搭建 下载 FusionAuth 1.10.0(本次使用 FusionAuth 1.10.0 进行测试) https:// storage.googleapis.com/inversoft_products_j098230498/products/fusionauth/1.10.0/fusionauth-app-1.10.0 FusionAuth Version 1.11.0 的 release Note 里说是修改了 freemarker template engine, 使其不能执行恶意代码.
1.7K30发布于 2020-07-02 - 来自专栏绿盟科技安全情报
【威胁通告】FusionAuth远程命令执行(CVE-2020-7799)漏洞威胁通告
版本: 1.0 1 漏洞概述 北京时间1月28日,NVD发布了一个FusionAuth存在Apache Freemarker模板远程命令执行(CVE-2020-7799)的漏洞;发现在FusionAuth FusionAuth是现代的访问管理开源应用程序,可以与多种技术和平台集成。 /fusionauth-apprm -rf ./fusionauth-searchrm -rf . /fusionauth/1.14.0/fusionauth-search-1.14.0.zip 进入安装目录,解压安装包: unzip -nq new-fusionauth-app.zipunzip - fusionauth-app fusionauth-app-oldmove fusionauth-search fusionauth-search-old 访问以下链接下载最新的程序包(1.14.0
1K20发布于 2020-02-24 - 来自专栏云云众生s
转向多体系结构的实用指南
案例分析:FusionAuth 拥有超过1000万次下载,FusionAuth是全球领先的身份和用户管理解决方案供应商之一。 FusionAuth将Java 17/Arm支持添加到代码中,然后使用jlink和多架构构建更新Docker以适用于Arm架构。由于FusionAuth基于Java运行,Arm迁移的工作量相对较小。 当FusionAuth的SaaS解决方案开发中(2019年),运行Arm的公有云区域仍相对有限,因此它必须谨慎选择。 对于负载测试,FusionAuth选择了登录请求,因为密码散列使登录成为一个特别CPU密集的过程。 - FusionAuth用户Dunia Anak Alam基金会首席信息官Hendy Irawan 2.
40110编辑于 2024-03-28 - 来自专栏betasec
安全攻防 | JWT认知与攻击
案例链接https://github.com/FusionAuth/fusionauth-jwt/issues/2 正如你所看到的,有时候这样的令牌就会被验证,这是比上面方法更危险的配置。
7.4K31发布于 2021-03-16 - 来自专栏FreeBuf
从JWT源码审计来看NONE算法漏洞(CVE-2015-9235)
Les Haziewood实现的jjwt: “maven: io.jsonwebtoken / jjwt-root / 0.11.1” Inversoft实现的prime-jwt: “maven: io.fusionauth / fusionauth-jwt / 3.5.0” Vertx实现的vertx-auth-jwt: “maven: io.vertx / vertx-auth-jwt / 3.5.1” 本文只做简略介绍
2.6K30发布于 2021-11-16 - 来自专栏FreeBuf
JWT介绍及其安全性分析
案例链接https://github.com/FusionAuth/fusionauth-jwt/issues/2 正如你所看到的,有时候这样的令牌就会被验证,这是比上面方法更危险的配置。
4.8K31发布于 2019-11-15 - 来自专栏艾编程
为什么很多优秀的程序员都喜欢写博客,这个秘密终于被我发现了
“[写作] 是在公共场合将自己的学习能力和工作能力向的社会明,” FusionAuth开发者关系主管Dan Moore告诉我。
1K20编辑于 2022-04-13 - 来自专栏深度学习与python
关于安全策略,开发者需要知道的那些事
像 FusionAuth、Transmit Security、Stytch 等公司已经推出了世界级的、对开发者友好的认证产品,使用起来非常简单。 用户也越来越熟悉新的身份认证因子。
31910编辑于 2022-06-13
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号