漏洞风险提示(20221212)
免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表安天实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与安天实验室一律不予承担。1 ThinkPHP命令执行漏洞(CNVD-2022-86535)
一、漏洞描述:
ThinkPHP是为了简化企业级应用开发和敏捷WEB应用开发而诞生的开源轻量级PHP框架。
ThinkPHP存在命令执行漏洞,该漏洞是由于开启了多语言功能,对参数lang传参过滤不严谨,攻击者可利用该漏洞执行命令。
二、风险等级:
高危
三、影响范围:
ThinkPHP ThinkPHP >=V6.0.1,<=V6.0.13
ThinkPHP ThinkPHP >=V5.0.X,<=V5.1.X
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://github.com/top-think/framework/releases/tag/v6.0.14
2 华天动力OA系统存在文件上传漏洞
一、漏洞描述:
华天动力OA系统是由大连华天软件有限公司开发的协同办公软件。
华天动力OA系统存在文件上传漏洞,攻击者可利用该漏洞上传任意文件。
二、风险等级:
高危
三、影响范围:
大连华天软件有限公司 华天动力OA系统
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://pan.baidu.com/s/1ImDoHnIz50uqLjpDPj4r5w?pwd=htoa
3 pgAdmin 4远程代码执行漏洞(CVE-2022-4223)
一、漏洞描述:
pgAdmin 4是一款为PostgreSQL设计的可靠和全面的数据库设计和管理软件。
pgAdmin 4存在远程代码执行漏洞,该漏洞是需要在Windows环境下,由于开发者对权限校验不严,攻击者可利用漏洞通过构造请求使pgAdmin访问恶意UNC地址,从而执行任意命令。
二、风险等级:
高危
三、影响范围:
pgAdmin pgAdmin 4 < 6.17/size]
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://www.pgadmin.org/docs/pgadmin4/6.17/release_notes_6_17.html
4 Appsmith服务器端请求伪造漏洞(CVE-2022-4096)
一、漏洞描述:
Appsmith是Appsmith开源的一个用于构建、部署和维护内部应用程序的开源平台。
Appsmith 1.8.2之前版本存在服务器端请求伪造漏洞,攻击者可利用该漏洞通过DNS重新绑定技术并检索数据方式,执行经过身份验证的服务器端请求伪造 (SSRF)。
二、风险等级:
高危
三、影响范围:
Appsmith Appsmith <1.8.2
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://huntr.dev/bounties/7969e834-5982-456e-9683-861a7a5e2d22/
页:
[1]