每日安全动态推送(24/11/6)

正文

请到「今天看啥」查看全文

•  Apache Solr 身份认证绕过与远程代码执行漏洞分析
Analysis of Authentication Bypass and RCE Vulnerabilities in Apache Solr

近期发现Apache Solr中存在严重的身份认证绕过及远程代码执行漏洞。这些漏洞使得未授权攻击者能通过构造特殊请求，利用PKIAuthenticationPlugin等组件实现权限升级、获取敏感信息甚至执行远程命令。本报告详述了漏洞机理、潜在威胁以及应对策略。

•  古猿再现：攻陷十七年前的SpiderMonkey版本
Ancient Monkey: Pwning a 17-Year-Old Version of SpiderMonkey

本文深入剖析了一个在Zscaler企业VPN解决方案中发现的有趣漏洞，利用一个过时版本的SpiderMonkey引擎中的缺陷实现任意JavaScript代码执行。作者不仅详细解释了如何通过巧妙构造字节码来控制程序流和内存操作，还展示了如何泄露敏感信息并最终获取shell访问权限的技术细节。

请到「今天看啥」查看全文