漏洞风险提示(20221213)
免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表安天实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与安天实验室一律不予承担。1 WordPress WP User Frontend授权问题漏洞(CVE-2021-24649)
一、漏洞描述:
WP User Frontend是wordpress的一款用户前台发帖投稿插件。
WordPress WP User Frontend 3.5.29之前版本存在授权问题漏洞。该漏洞源于不当的权限管理,攻击者可利用漏洞创建任意角色的帐户。
二、风险等级:
高危
三、影响范围:
WordPress WP User Frontend Plugin <3.5.29
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://wpscan.com/vulnerability/9486744e-ab24-44e4-b06e-9e0b4be132e2
2 Tenda AC15 formSetIpMacBind函数缓冲区溢出漏洞(CVE-2022-44156)
一、漏洞描述:
Tenda AC15是中国腾达(Tenda)公司的一款无线路由器。
Tenda AC15固件V15.03.05.19版本存在缓冲区溢出漏洞,该漏洞源于其formSetIpMacBind函数对于输入的数据未进行长度大小检查,攻击者可利用漏洞发起拒绝服务攻击。
二、风险等级:
高危
三、影响范围:
Tenda Tenda AC15 V15.03.05.19
四、修复建议:
厂商尚未提供漏洞修复方案,请关注厂商主页更新:
https://www.tenda.com.cn/default.html
3 Boa SQL注入漏洞(CVE-2022-44117)
一、漏洞描述:
Boa是开源的一种适用于嵌入式应用程序的开放源代码。
Boa 0.94.14rc21版本存在SQL注入漏洞。该漏洞源于username参数未对外部输入进行验证。攻击者可利用该漏洞获取数据库敏感信息。
二、风险等级:
高危
三、影响范围:
Boa Boa 0.94.14rc21
四、修复建议:
厂商尚未提供漏洞修复方案,请关注厂商主页更新:
http://www.boa.org/
4 IBM DB2跨站请求伪造漏洞(CVE-2022-41297)
一、漏洞描述:
IBM DB2是美国国际商业机器(IBM)公司的一套关系型数据库管理系统。该系统的执行环境主要有UNIX、Linux、IBMi、z/OS以及Windows服务器版本。
IBM Db2 3.5版本、4.0版本、4.5版本存在跨站请求伪造漏洞,该漏洞源于WEB应用未充分验证请求是否来自可信用户。攻击者可利用该漏洞伪造恶意请求诱骗受害者点击执行敏感操作。
二、风险等级:
高危
三、影响范围:
IBM IBM DB2 3.5
IBM IBM DB2 4.0
IBM IBM DB2 4.5
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://www.ibm.com/support/pages/node/6843071
页:
[1]