Windows打印机相关服务存在逻辑缺陷，可以被用来进行权限提升甚至可以实现远程任意代码执行，微软已于2021年6月8号发布安全补丁，对该缺陷进行修复，请尽快完成系统更新。

Apache Shiro是一个强大且易用的Java安全框架，它可以用来执行身份验证、授权、密码和会话管理。目前常见集成于各种应用中进行身份验证，授权等。

漏洞详情

腾讯安全玄武实验室研究员发现在Apache Shiro 1.5.3之前的版本，将Apache Shiro与Spring控制器一起使用时，特制请求可能会导致身份验证绕过。

漏洞发现者

该漏洞由腾讯安全玄武实验室的Ruilin发现并报告，此外来自边界无限的淚笑也独立向官方报告了此漏洞点。

风险等级

高风险

漏洞风险

身份验证绕过等

影响版本

Apache Shiro 1.5.3之前的版本

Apache Dubbo是一种基于Java的高性能RPC框架。该项目于2011年开源，并于2018年2月进入Apache孵化器，目前已经成为了广大开发者最常使用的微服务框架之一。它提供了三大核心能力：面向接口的远程方法调用，智能容错和负载均衡，以及服务自动注册和发现。

漏洞详情

腾讯安全玄武实验室研究员发现，Dubbo 2.7.6或更低版本采用的默认反序列化方式存在代码执行漏洞，当Dubbo服务端暴露时(默认端口：20880)，攻击者可以发送未经验证的服务名或方法名的RPC请求，同时配合附加恶意的参数负载。当恶意参数被反序列化时，它将执行恶意代码。
经验证该反序列化漏洞需要服务端存在可以被利用的第三方库，而研究发现极大多数开发者都会使用的某些第三方库存在能够利用的攻击链，攻击者可以利用它们直接对Dubbo服务端进行恶意代码执行，影响广泛。

漏洞发现者

Ruilin

风险等级

高风险

漏洞风险

远程代码执行等

影响版本

• Apache Dubbo 2.7.0 ~ 2.7.6
• Apache Dubbo 2.6.0 ~ 2.6.7
• Apache Dubbo 2.5.x 所有版本 (官方不再提供支持)

XLAB ID: XLAB-15-010     

CVE ID: CVE-2015-2494     

Patch Status: 已修复

XLAB ID: XLAB-15-025     

CVE ID: CVE-2015-1752     

Patch Status: 已修复

XLAB ID: XLAB-15-024     

CVE ID: CVE-2015-8459     

Patch Status: 已修复

XLAB ID: XLAB-15-022     

CVE ID: CVE-2015-7093     

Patch Status: 已修复

XLAB ID: XLAB-15-023     

CVE ID: CVE-2015-8302     

Patch Status: 已修复

XLAB ID: XLAB-15-021     

CVE ID: CVE-2015-8695     

Patch Status: 未修复

XLAB ID: XLAB-15-020     

CVE ID: CVE-2015-8695     

Patch Status: 未修复