找回密码
 注册创意安天

漏洞风险提示(20220125)

[复制链接]
发表于 2022-1-24 22:39 | 显示全部楼层 |阅读模式
免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表安天实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与安天实验室一律不予承担。


1 Apache ShardingSphere  ElasticJob-UI权限提升漏洞(CVE-2022-22733)
一、漏洞描述:
        1.jpg
        Apache ShardingSphere ElasticJob 是面向互联网生态和海量任务的分布式调度解决方案,由两个相互独立的子项目 ElasticJob-Lite 和 ElasticJob-Cloud 组成。ElasticJob-UI 是 ElasticJob 的管理控制台,包含了动态配置、作业管控等功能。
        该漏洞是由于返回 token 中包含了管理员密码,攻击者可利用该漏洞在授权的情况下,构造恶意数据执行权限绕过攻击,最终获取服务器最高权限。

二、风险等级:
          高危
三、影响范围:
        Apache ShardingSphere ElasticJob-UI <= 3.0.0
四、修复建议:
        目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
        https://shardingsphere.apache.org/document/current/cn/downloads/



2 Rust竞争条件问题漏洞(CVE-2022-21658)
一、漏洞描述:
        2.png
        Rust是Mozilla基金会的一款通用、编译型编程语言。
        Rust中存在竞争条件问题漏洞,该漏洞源于产品的(std::fs::remove_dir_all)函数未对用户权限进行有效验证。攻击者可通过该漏洞删除不能访问的文件和目录。

二、风险等级:
          高危
三、影响范围:
        Rust 1.0.0 至 1.58.0
四、修复建议:
        目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
        https://github.com/rust-lang/rus ... GHSA-r9cc-f5pr-p3j2



3 Control Web Panel文件包含漏洞(CVE-2021-45467)
一、漏洞描述:
        3.jpg
        Control Web Panel(CWP,以前是CentOS Web Panel),是一个开源的Linux控制面板软件,用于部署虚拟主机环境,并被超过20万台服务器使用。
        当应用程序中使用的两个无需身份验证即可访问的PHP页面"/user/login.php "和"/user/index.php"未能充分验证一个脚本文件的路径时,将导致文件包含漏洞。

二、风险等级:
          高危
三、影响范围:
        Control Web Panel 7 < 0.9.8.1120
四、修复建议:
        目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
        https://control-webpanel.com/changelog



4 Control Web Panel文件写入漏洞(CVE-2021-45466)
一、漏洞描述:
        3.jpg
        Control Web Panel(CWP,以前是CentOS Web Panel),是一个开源的Linux控制面板软件,用于部署虚拟主机环境,并被超过20万台服务器使用。
        成功利用任意文件包含漏洞(CVE-2021-45467)的攻击者不但能够访问受限制的 API 端点,还可以与文件包含漏洞结合使用,在服务器上实现远程代码执行。

二、风险等级:
          高危
三、影响范围:
        Control Web Panel 7 < 0.9.8.1120
四、修复建议:
        目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
        https://control-webpanel.com/changelog
您需要登录后才可以回帖 登录 | 注册创意安天

本版积分规则

Archiver|手机版|小黑屋|创意安天 ( 京ICP备09068574,ICP证100468号。 )

GMT+8, 2024-11-23 15:51

Powered by Discuz! X3.5

© 2001-2024 Discuz! Team.

快速回复 返回顶部 返回列表