漏洞风险提示(20220929)
免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表安天实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与安天实验室一律不予承担。1Online Leave ManagementSystem SQL注入漏洞(CVE-2022-40928)
一、漏洞描述:
Sourcecodester Online Leave Management System是一个在线休假管理系统。
Online Leave Management System v1.0版本存在安全漏洞,该漏洞源于通过/leave_system/classes/Master.php?f=delete_application发现包含SQL注入漏洞。
二、风险等级:
高危
三、影响范围:
Online Leave Management System v1.0
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://github.com/admin77888/Bug_report/blob/main/vendors/oretnom23/online-leave-management-system/SQLi-3.md
2Wedding Planner SQL(CVE-2022-40403)
一、漏洞描述:
Wedding Planner是pushpam abhishek的一个婚礼策划师项目。旨在为用户提供一种简单的方法,让他们在使用真实数据的同时通过 Web 应用程序来计划他们的婚礼。
Wedding Planner v1.0版本存在安全漏洞,该漏洞源于通过/admin/feature_edit.php中的id参数发现包含SQL注入漏洞。
二、风险等级:
高危
三、影响范围:
Google Android 12
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://github.com/wshark00/Bug_report/blob/main/vendors/pushpam02/wedding-planner/SQLi-3.md
3WordPress plugin CM Download Manager 代码问题漏洞(CVE-2022-3076)
一、漏洞描述:
WordPress和WordPress plugin都是WordPress基金会的产品。WordPress是一套使用PHP语言开发的博客平台。该平台支持在PHP和MySQL的服务器上架设个人博客网站。WordPress plugin是一个应用插件。
WordPress plugin CM Download Manager 2.8.6 之前版本存在代码问题漏洞,该漏洞源于允许管理员等高权限用户通过插件设置来上传任意扩展名的文件,例如多站点博客的管理员可以使用该扩展名来上传PHP文件。
二、风险等级:
高危
三、影响范围:
WordPress plugin CM Download Manager 2.8.6 之前
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://wpscan.com/vulnerability/d18e695b-4d6e-4ff6-a060-312594a0d2bd
4 joblib任意代码执行漏洞(CVE-2022-21797)
一、漏洞描述:
joblib是joblib开源的一组在 Python 中提供轻量级流水线的工具。
joblib package 1.2.0之前的版本存在安全漏洞,该漏洞源于其Parallel()类中的pre_dispatch标志允许攻击者通过eval()语句实现任意代码执行。
二、风险等级:
高危
三、影响范围:
joblib package 1.2.0之前
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://github.com/joblib/joblib/commit/b90f10efeb670a2cc877fb88ebb3f2019189e059
页:
[1]