1、漏洞
CVE编号:CVE-2020-13379。
(图片来源网络,侵删)
漏洞入口点:/avatar/:hash 接口。
漏洞触发位置:wls-wsat.war,漏洞触发URL为/wls-wsat/CoordinatorPortType(POST)。
漏洞本质:构造SOAP(XML)格式的请求,在解析的过程中导致XMLDecoder反序列化漏洞。
2、技术细节
代码实现:在Grafana api.go文件中,路由/avatar/:hash会获取到接口中的hash值,并把它路由到secure.grafana.com,代码实现大体如下:
(图片来源网络,侵删)
const (
...
) 调用链分析:漏洞调用链包括weblogic.wsee.jaxws.workcontext.WorkContextServerTube.processRequest、weblogic.wsee.jaxws.workcontext.WorkContextTube.readHeaderOld、weblogic.wsee.workarea.WorkContextXmlInputAdapter等。
3、相关资源
网络安全门户:FreeBuf是国内领先的网络安全行业门户,同时也是爱好者们交流与分享安全技术的社区。
国家漏洞库:CCS2024 | 国家漏洞库网络安全漏洞治理产业协同创新研讨活动成功举办。
TNT漏洞涉及多个技术和平台,其核心在于通过特定接口和数据格式触发安全漏洞,了解这些细节有助于更好地防范和应对潜在的网络威胁。
(图片来源网络,侵删)
各位小伙伴们,我刚刚为大家分享了有关tnt漏洞的知识,希望对你们有所帮助。如果您还有其他相关问题需要解决,欢迎随时提出哦!
本文来源于互联网,如若侵权,请联系管理员删除,本文链接:https://www.9969.net/73026.html
