漏洞风险提示(20221122)
免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表安天实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与安天实验室一律不予承担。1 Apache Airflow代码注入漏洞(CVE-2022-40127)
一、漏洞描述:
Apache Airflow是美国阿帕奇(Apache)基金会的一套用于创建、管理和监控工作流程的开源平台。该平台具有可扩展和动态监控等特点。
Apache Airflow存在代码注入漏洞,该漏洞源于用户输入构造执行命令过程中,网络系统或产品未能正确过滤其中的特殊字符、命令等,具有UI访问权限的攻击者可利用该漏洞触发DAGs,通过手动提供run_id参数执行任意命令。
二、风险等级:
高危
三、影响范围:
Apache Apache Airflow <2.4.0
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://github.com/apache/airflow/pull/25960
2 Apache Airflow信息泄露漏洞(CVE-2022-27949)
一、漏洞描述:
Apache Airflow是美国阿帕奇(Apache)基金会的一套用于创建、管理和监控工作流程的开源平台。该平台具有可扩展和动态监控等特点。
Apache Airflow 2.3.1之前版本存在信息泄露漏洞,该漏洞源于应用对于敏感信息保护不足,攻击者可利用该漏洞查看未执行任务的渲染模板值中未屏蔽的秘密。
二、风险等级:
高危
三、影响范围:
Apache Apache Airflow <2.3.1
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://lists.apache.org/thread/n38oc5obb48600fsvnbopxcs0jpbp65p
3 Apache SOAP身份验证错误漏洞(CVE-2022-45378)
一、漏洞描述:
Apache SOAP是美国阿帕奇(Apache)基金会的用作客户端库来调用其他地方可用的 SOAP服务,也可以用作服务器端工具来实现SOAP可访问服务。
Apache SOAP存在身份验证错误漏洞,该漏洞源于RPCRouterServlet无需身份验证即可使用,攻击者可利用该漏洞有可能在满足特定条件的类路径上调用方法,根据类路径上可用的类可能导致任意远程代码执行。
二、风险等级:
高危
三、影响范围:
Apache SOAP <=2.3
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://lists.apache.org/thread/g4l64s283njhnph2otx7q4gs2j952d31
4 Adobe Illustrator缓冲区溢出漏洞(CVE-2022-38436 )
一、漏洞描述:
Adobe Illustrator是美国奥多比(Adobe)公司的一套基于向量的图像制作软件。
Adobe Illustrator存在缓冲区溢出漏洞,攻击者利用该漏洞触发任意代码执行。
二、风险等级:
高危
三、影响范围:
Adobe Illustrator >=26.0,<=26.4
Adobe Illustrator <=25.4.7
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://helpx.adobe.com/security/products/illustrator/apsb22-56.html
页:
[1]