freestyle 发表于 2022-3-5 09:51

漏洞风险提示(20220305)

免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表安天实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与安天实验室一律不予承担。

1 VoIPmonitor SQL 注入漏洞(CVE-2022-24260)
一、漏洞描述:
      https://img-blog.csdnimg.cn/img_convert/86c57340eb4ee56d25b3910a2124e08c.png
       VoIPmonitor旨在根据ITU-T G.107 E模型分析基于网络参数的VoIP呼叫质量延迟变化和数据包丢失。VoIPmonitor可以解码语音并通过商业WEB GUI播放,还可以将其作为WAV保存到磁盘。
近期,VoIPmonitor官方公布其产品出现SQL 注入漏洞。根据漏洞详情,未经授权的攻击者可利用在 GUI 的 “api.php”和“utilities.php”组件中SQL注入漏洞,构造恶意的SQL请求,达到欺骗服务器的目的,执行违法的对用户有害的SQL命令
二、风险等级:
          高危
三、影响范围:
      VoIPmonitor < 24.99
四、修复建议:
      厂商已发布升级修复漏洞,用户请尽快更新至安全版本。补丁获取链接:
      https://www.voipmonitor.org/changelog-gui?major=5

2 JqueryForm.com Jquery Form Builder 跨站脚本漏洞(CVE-2022-24981)
一、漏洞描述:
      https://img2.baidu.com/it/u=3803313464,4106249688&fm=253&fmt=auto&app=138&f=GIF?w=300&h=300
         JqueryForm.com Jquery Form Builder是JqueryForm.com公司的一个表单生成器。
JQueryForm.com Jquery Form Builder存在跨站脚本漏洞,该漏洞源于 JQueryForm.com 在 2022 年 2 月 5 日之前生成的表单中的反射式跨站脚本 (XSS) 漏洞允许远程攻击者通过重定向参数向 admin.php 注入任意 Web 脚本或 HTML。
二、风险等级:
          中危
三、影响范围:
      JQueryForm.com 在 2022 年 2 月 5 日之前生成的表单
四、修复建议:
      详情请关注厂商主页:
      https://jqueryform.com/

3WordPress和WordPress plugin SQL注入漏洞(CVE-2022-0651)
一、漏洞描述:
      https://gimg2.baidu.com/image_search/src=http%3A%2F%2Fwww.996php.com%2Fuploads%2Fallimg%2F2003%2F1-2003031QG70-L.jpg&refer=http%3A%2F%2Fwww.996php.com&app=2002&size=f9999,10000&q=a80&n=0&g=0n&fmt=jpeg?sec=1649036914&t=c716f24faf8b60119402d3e682f17d16
      WordPress是Wordpress基金会的一套使用PHP语言开发的博客平台。该平台支持在PHP和MySQL的服务器上架设个人博客网站。WordPress plugin是WordPress开源的一个应用插件。
      WordPress plugin WP Statistics 存在SQL注入漏洞,攻击者可利用该漏洞在没有身份验证的情况下注入任意SQL查询以获取敏感信息。
二、风险等级:
          中危
三、影响范围:
      WP Statistics <= 13.1.5
四、修复建议:
      目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
      https://www.wordfence.com/vulnerability-advisories/#CVE-2022-0651

4GitLab Community Edition 和 Enterprise Edition 信息泄露漏洞(CVE-2022-0735 )
一、漏洞描述:
      https://about.gitlab.com/images/blogimages/security-cover-new.png
            GitLab Enterprise Edition是一套内容管理系统。GitLab Gitlab Community Edition是美国GitLab公司的一种社区版 GitLab 。
GitLab Community Edition (CE) and Enterprise Edition (EE)存在信息泄露漏洞,该漏洞源于应用程序输出的数据过多。远程用户可以使用快速操作命令通过该漏洞窃取跑步者注册令牌。
二、风险等级:
          中危
三、影响范围:
      GitLab 4.8.2, 14.7.4,14.6.5
四、修复建议:
      目前厂商已发布升级补丁以修复漏洞,详情请关注厂商主页:
       https://about.gitlab.com/releases/2022/02/25/critical-security-release-gitlab-14-8-2-released/
页: [1]
查看完整版本: 漏洞风险提示(20220305)