漏洞风险提示(20230116)
免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表安天实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与安天实验室一律不予承担。1 Siemens Solid Edge文件解析漏洞(CVE-2022-47967)
一、漏洞描述:
Solid Edge是一个软件工具组合,用于处理各种产品开发过程:3D设计、仿真、制造和设计管理。
Siemens Solid Edge存在文件解析漏洞,攻击者可利用该漏洞在当前进程的上下文中执行代码。
二、风险等级:
高危
三、影响范围:
SIEMENS Solid Edge <2023 MP1
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://cert-portal.siemens.com/productcert/html/ssa-997779.html
2 Siemens SINEC INS命令注入漏洞(CVE-2022-45094)
一、漏洞描述:
SINEC INS(基础设施网络服务)是一个基于web的应用程序,将各种网络服务结合在一个工具中。这简化了与工业网络相关的所有网络服务的安装和管理。
Siemens SINEC INS存在命令注入漏洞,攻击者可利用该漏洞在受影响的组件上触发远程代码执行。
二、风险等级:
高危
三、影响范围:
Siemens SINEC INS <1.0 SP2 Update 1
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://cert-portal.siemens.com/productcert/html/ssa-332410.html
3 Apache libapreq2拒绝服务工具漏洞(CVE-2022-22728)
一、漏洞描述:
Apache libapreq2 2.16及更早版本中的Aflaw可能会在处理多部分表单上传时导致缓冲区溢出。远程攻击者可以发送一个请求,导致进程崩溃,从而导致拒绝服务攻击。
二、风险等级:
高危
三、影响范围:
Apache libapreq < 2 2.16
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/2PUUS3JL44UUSLJTSXE46HVKZIW7E7PE/
4 Asus RT-AX82U身份验证绕过漏洞(CVE-2022-35401)
一、漏洞描述:
Asus RT-AX82U 3.0.0.4.386_49674-ge182230的get_IFTTTTtoken.cgi功能存在身份验证绕过漏洞。一个特制的HTTP请求可以导致对设备的完全管理访问。攻击者需要发送一系列HTTP请求来利用此漏洞。
二、风险等级:
高危
三、影响范围:
Asus RT-AX82U 3.0.0.4.386_49674-ge182230
四、修复建议:
目前厂商暂未发布修复措施解决此安全问题,建议关注厂商主页或参考网址以获取解决办法:
https://www.asus.com/us/Networking-IoT-Servers/WiFi-Routers/ASUS-Gaming-Routers/RT-AX82U/
页:
[1]