漏洞风险提示(20221114)
免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表安天实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与安天实验室一律不予承担。1Yapi api接口 MongoDB注入致远程命令执行漏洞
一、漏洞描述:
YApi 是高效、易用、功能强大的api 管理平台,旨在为开发、产品、测试人员提供更优雅的接口管理服务。可以帮助开发者轻松创建、发布、维护API。
在旧版本中,Yapi前台存在注入,攻击者可利用该漏洞获取相关token,并配合沙箱绕过执行任意命令。
二、风险等级:
高危
三、影响范围:
Yapi
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://github.com/YMFE/yapi
2Google Chrome缓冲区溢出漏洞(CVE-2022-3890)
一、漏洞描述:
Google Chrome是美国谷歌(Google)公司的一款Web浏览器。
Google Chrome存在安全漏洞,该漏洞源于在Crashpad中存在堆缓冲区溢出问题。目前没有详细的漏洞细节提供。
二、风险等级:
高危
三、影响范围:
Google Chrome <107.0.5304.106
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://chromereleases.googleblog.com/2022/11/stable-channel-update-for-desktop.html
3Google Chrome资源管理错误漏洞(CVE-2022-3888)
一、漏洞描述:
Google Chrome是美国谷歌(Google)公司的一款Web浏览器。
Google Chrome存在安全漏洞,该漏洞源于WebCodecs存在内存释放后重用问题。目前没有详细的漏洞细节提供。
二、风险等级:
高危
三、影响范围:
Google Chrome <107.0.5304.106
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://chromereleases.googleblog.com/2022/11/stable-channel-update-for-desktop.html
4Apache Airflow授权问题漏洞(CVE-2022-38054)
一、漏洞描述:
Apache Airflow是美国阿帕奇(Apache)基金会的一套用于创建、管理和监控工作流程的开源平台。该平台具有可扩展和动态监控等特点。
Apache Airflow 2.2.4至2.3.3版本存在安全漏洞,该漏洞源于其“database”web服务器会话后端容易被会话固定。目前没有详细的漏洞细节提供。
二、风险等级:
高危
三、影响范围:
Apache Airflow >=2.2.4,<=2.3.3
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://lists.apache.org/thread/rsd3h89xdp16rg0ltovx3m7q3ypkxsbb
页:
[1]