漏洞风险提示（20220126）

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 Apache Xerces Java循环漏洞（CVE-2022-23437）
一、漏洞描述：
       
        Xerces是一个由Apache组织所推动的一项XML文档解析开源项目。
        由于解析 XML 文档时存在无限循环，因此存在漏洞。远程攻击者可以提供特制的 XML 文档，消耗所有可用的系统资源并导致拒绝服务条件。
二、风险等级：
          高危
三、影响范围：
        Apache Xerces2 Java XML Parser <= 2.12.1
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://lists.apache.org/thread/6pjwm10bb69kq955fzr1n0nflnjd27dl

---

2 McAfee Agent代码注入漏洞（CVE-2021-31854）
一、漏洞描述：
       
        McAfee Agent是ePolicy Orchestrator的分布式组件。它下载并执行策略，并执行客户端任务，例如部署和更新。
        McAfee Agent for Windows 5.7.5 之前的命令注入漏洞允许本地用户将任意 shell 代码注入文件 cleanup.exe。恶意 clean.exe 文件放置在相关文件夹中，并通过运行位于系统树中的 McAfee Agent 部署功能来执行。攻击者可以利用该漏洞获取反向shell，从而导致权限提升以获得root权限。
二、风险等级：
          高危
三、影响范围：
        McAfee Agent <5.7.5
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://kc.mcafee.com/corporate/index?page=content&id=SB10378

---

3 SolarWinds Serv-U输入验证漏洞（CVE-2021-35247）
一、漏洞描述：
       
        SolarWinds Serv-U是美国SolarWinds公司的一套FTP和MFT文件传输软件。
        由于Serv-U的输入验证存在安全问题，LDAP 身份验证的 Serv-U Web 登录未充分过滤字符。
二、风险等级：
          中危
三、影响范围：
        SolarWinds Serv-U <= 15.2.5
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://www.solarwinds.com/serv-u-managed-file-transfer-server

---

4  VMware Workstation拒绝服务漏洞（CVE-2022-22938）
一、漏洞描述：
       
        VMware Workstation是一款功能强大的桌面虚拟计算机软件，提供用户可在单一的桌面上同时运行不同的操作系统，和进行开发、测试 、部署新的应用程序的最佳解决方案。
        有权访问虚拟机或远程桌面的恶意行为者可能会利用此问题在安装了适用于Windows的 VMware Workstation或 Horizon Client 的主机上运行的 Thinprint 服务中触发拒绝服务条件。仅当启用了虚拟打印时才可能进行利用。默认情况下，该功能在 Workstation 上未启用，但在适用于Windows的Horizon Client 上默认启用。
二、风险等级：
          中危
三、影响范围：
        VMware Workstation = 16.x
        VMware Horizon Client = 5.x
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://www.vmware.com/security/advisories/VMSA-2022-0002.html