原文:ElasticSearch 命令执行漏洞(CVE-2014-3120)

ElasticSearch简介 ElasticSearch是一个基于Lucene构建的开源,分布式,RESTful搜索引擎。设计用于云计算中,能够达到实时搜索,稳定,可靠,快速,安装使用方便。支持通过HTTP使用JSON进行数据索引。 CVE 原理 ElasticSearch有脚本执行的功能,使用的引擎为MVEL,该引擎没有做任何的防护,或者沙盒包装,所以可以直接执行任意代码。 由于在Elasti ...

2019-09-26 10:41 0 663 推荐指数:

查看详情

漏洞复现-ElasticSearch 命令执行漏洞CVE-2014-3120

基础知识 1. 全文检索:扫描文章中的每一个词,给每一个词建立一个索引指明该词在文章中出现的位置和次数。当进行查询操作时直接根据索引进行查找。 2. 倒排索引:索引表中的每一项都包括一个属性值和具 ...

Tue Mar 10 22:11:00 CST 2020 0 2089
GNU Bash 远程代码执行漏洞(CVE-2014-6271)

GNU Bash是美国软件开发者布莱恩-福克斯(Brian J. Fox)为GNU计划而编写的一个Shell(命令语言解释器),它运行于类Unix操作系统中(Linux系统的默认Shell),并能够从标准输入设备或文件中读取、执行命令,同时也结合了一部分ksh和csh的特点。 GNU ...

Mon May 20 19:02:00 CST 2019 0 684
Bash远程代码执行漏洞(CVE-2014-6271)案例分析

Web服务器和CGI的关系 什么是WEB服务器(IIS、Nginx、Apache) WEB服务器也称为WWW(WORLD WIDE WEB)服务器,主要功能是提供网上信息浏览服务。(1)应用 ...

Mon Sep 25 22:36:00 CST 2017 0 1600
心脏滴血漏洞CVE-2014-0160)

漏洞范围: Open SSL1.0.1版本 漏洞成因: heartbleed由于未能在memcpy()调用受害用户输入内容作为长度参数之前进行边界检查,追踪者可以追踪Open SSL所分配的64KB缓存、将超出信息复制到缓存中,再返回缓存信息, 受害者内存的内容就会每次泄露64KB。 漏洞 ...

Thu Oct 29 18:59:00 CST 2020 0 577
 
粤ICP备18138465号  © 2018-2025 CODEPRJ.COM