dotCMS REST API SQL注入漏洞(CVE-2016-2355)

summertie

2016-12-20

dotCMS REST API SQL注入漏洞(CVE-2016-2355)

发布日期：2016-12-15
更新日期：2016-12-20

受影响系统：

dotCMS dotCMS < 3.3.2

描述：

CVE(CAN) ID: CVE-2016-2355

dotCMS 是一个Java开发的功能强大的内容管理系统(CMS)。

dotCMS < 3.3.2版本，REST API存在SQL注入漏洞，远程攻击者通过api/content/save/1的stName参数，可执行任意SQL命令。

<*来源：Nicky @ Tencent Security Platform Department
*>

建议：

厂商补丁：

dotCMS
------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

https://github.com/dotCMS/core/issues/8848
http://dotcms.com/security/SI-35

rest sql注入注入漏洞 api dotcms

summertie

0 关注 0 粉丝 0 动态

相关推荐

5招助您设计出更好的REST API

毋庸置疑，API已成为了当前在不同系统之间交换信息的实际标准。在本文中，我将和您讨论在进行多种REST API设计和实现时，那些值得遵循的良好实践原则。此外，由于这些SDK由提供商所维护，因此开发人员无需进行繁琐的测试、修复和更改，即可支持各种新的API节

futurechallenger 2020-07-10

如何用Spring WebFlux构建Reactive REST API

在本文中，我们将讨论如何使用Spring WebFlux来构建响应式REST API。在正式讨论之前，让我们首先来看看系统的开发，传统REST在实现中遇到的问题，以及当前API的普遍需求。如今的系统讲求的是：分布式应用、云原生、高可用性和可扩展性。因此，

liuqipao 2020-07-07

REST是什么？RESTFul又是什么？这二者的关系是怎样的？

是一种针对网络应用的设计和开发方式，可以降低开发的复杂性，提高系统的可伸缩性。客户端和服务器之间的交互在请求之间是无状态的。从客户端到服务器的每个请求都必须包含理解请求所必需的信息。如果服务器在请求之间的任何时间点重启，客户端不会得到通知。无状态请求可以由

ahnjwj 2020-07-28

Django快速开发实践：Drf框架和xadmin配置指北

经过这些步骤就能得到一个具备完整的后端接口和后台管理界面的网站了，如果写了template的话还能把前端的工作也做了。接下来按照上面提到的顺序记录一下我的开发实践。好像没啥好说的，Django3多了几个新的特性，可以用class来定义choices，这个比

iflreey 2020-07-04

Django REST framework基础：视图和路由

在Django REST Framework中内置的Request类扩展了Django中的Request类，实现了很多方便的功能--如请求数据解析和认证等。比如，区别于Django中的request从request.GET中获取URL参数，从request

tuxlcsdn 2020-06-21

REST与RESTful学习

2000年，由Roy Thomas Fielding在他的博士论文中提出。REST定义了一种互联网软件的架构原则。因此，REST也可以说是一种架构风格。REST式的web服务是一种ROA，资源是核心。上网的过程就是调用资源的URI，来获取资源不同表现形式的

84560296 2020-06-09

Django REST framework JWT

　　Json web token , 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准. 该token被设计为紧凑且安全的，特别适用于分布式站点的单点登录场景。JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息，以便于

Burgesszheng 2020-06-07

REST Framework接口规范

网络应用程序，分为前端和后端两个部分。当前的发展趋势，就是前端设备层出不穷（手机、平板、桌面电脑、其他专用设备…因此，必须有一种统一的机制，方便不同的前端设备与后端进行通信。这导致API构架的流行，甚至出现APIFirst的设计思想。RESTful API

TimeMagician 2020-05-27

Spring Data REST

　　该约束是 REST 服务的基础，是客户端和服务器之间的桥梁。该约束又包含下面4个子约束:. 客户端在请求时需要指定该标识符。　　　　通过资源的表达来操纵资源。　　　　自描述的消息。　　　　超媒体作为应用状态的引擎。客户端通过服务器提供的超媒体内容中动态

bapinggaitianli 2020-04-07

【docker Elasticsearch】Rest风格的分布式开源搜索和分析引擎Elasticsearch初体验

Elasticsearch 是一个分布式、可扩展、实时的搜索与数据分析引擎。它能从项目一开始就赋予你的数据以搜索、分析和探索的能力，这是通常没有预料到的。它存在还因为原始数据如果只是躺在磁盘里面根本就毫无用处。Elasticsearch 不仅仅只是全文搜索

蜡笔小鑫爱看雪 2020-03-27

Ajax,restful/Rest JSON和JSONP

Ajax– “异步Javascript和XML”。Ajax宽松地定义了一组技术，以帮助使Web应用程序提供更丰富的用户体验。屏幕的数据更新和刷新是使用javascript和xml异步完成。以JSON表示的对象可以转换为要在javascript代码中操作的实

Richardxx 2020-03-07

Spring Boot Rest控制器单元测试

Spring Boot提供了一种为Rest Controller文件编写单元测试的简便方法。单元测试应该写在src/test/java目录下，用于编写测试的类路径资源应该放在src/test/resources目录下。对于编写单元测试，需要在构建配置文件中

84224552 2020-03-06

0010 Django工程配置（07 REST_FRAMEWORK配置）

　　DRF有丰富的功能，JWT认证、过滤、分页、异常处理、接口文档、限流、缓存等。　　这些配置，有些需要写自定义接口，有些只需要配置就可以了。# 也可通过自定义Pagination类，来为视图添加不同分页行为。在视图中通过pagination_clas属性

时光如瑾雨微凉 2020-03-04

Uni-app基础实战富文本框解析 WordPress rest api实例（二）

官方的富文本框有markdown和html两种方式，但是样式欠佳！官网可以一键导入，直接点击hbuilder x导入就ojbk。另外新建界面和界面配置这边不说啦，如果有需要可以看上面文章或者之前更早的文章。在用浏览器运行应该就可以看到我是html代码这

zcl 2020-03-04

Springboot使用RestHighLevelClient7操作es

Elasticsearch Java Rest Client 上手指南（上）。Elasticsearch的几种Java客户端。elasticsearch 的两种连接方式+三种客户端。Elasticsearch系列(七)----JAVA客户端之RestCli

tigercn 2020-02-23

django中时间区间过滤

filter_fields = #指向要过滤的类

Yort 2020-02-22

Django Rest Framework 频率组件

# 定义频率类并继承SimpleRateThrottle. rate = ‘5/m‘ # 指定访问频率，5/m表示每分钟5次。局部使用===》在views.py需要使用频率的视图函数中注册频率类。# 在需要权限的数据接口里面指定权限类。全局使用==

明瞳 2020-02-22

Django Rest Framework 认证组件

‘‘‘用户认证章节‘‘‘。# 定义返回消息体。response["status_message"] = "登录失败，用户名或密码错误". # 在需要认证的数据接口里面指定认证类。#创建随机字符串用作token

tuxlcsdn 2020-02-21

DRF（Django Rest Framework）序列化组件接口使用和接口设计--!GET接口设计!

定义序列化器，一般包括模型类的字段，有自己的字段类型规则。实现了序列化器后，就可以创建序列化对象以及查询集进行序列化操作，通过序列化对象.data来获取数据。#创建一个方法必须：get_字段名，并传入一个对象。

明瞳 2020-02-17

Django REST Framework JWT

################### 2、配置jwt验证 ######################. AUTH_USER_MODEL=‘users.User‘ # 指定使用users APP中的 model setting.py. path, #

GreatZhou 2020-02-11

summertie

W3CSchool教程: HTML 教程; CSS 教程; Bootstrap 教程; Javascript 教程; jQuery 教程

后端教程: C 教程; Java 教程; PHP 教程; Python 教程; Go 教程

移动开发: Android 教程; Swift 教程; Kotlin 教程; jQuery Mobile 教程; ionic 教程

关于我们: 新闻动态; 联系方式; 招聘英才; 安科实验室; 帮助与反馈

安科网(Ancii)，中国第一极客网

Copyright © 2013 - 2019 Ancii.com

京ICP备18063983号京公网安备11010802014868号