免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表安天实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与安天实验室一律不予承担。
1 Clash For Windows远程代码执行漏洞
一、漏洞描述:
Clash For Windows 是一款基于 Clash 的代理客户端,其广泛应用于 Windows 与 Mac 操作系统。
该产品在代理规则配置文件中未设置严格的输入检测,攻击者可通过构造代理配置文件中的 XSS Payload 来执行任意 javascript 命令。
二、风险等级:
高危
三、影响范围:
Clash For Windows < v0.19.9
四、修复建议:
参考漏洞影响范围,开发者已发布更新,请下载最新版本以修复该漏洞:
https://github.com/Fndroid/clash ... releases/tag/0.19.9
2 Apache JSPWiki跨站请求伪造漏洞(CVE-2022-24947)
一、漏洞描述:
Apache JSPWiki是领先的开源Wiki引擎,功能丰富并围绕标准JEE组件(Java、servlet、JSP)构建。
Apache JSPWiki中存在一个跨站请求伪造漏洞,由于Apache JSPWiki用户首选项表单容易受到CSRF攻击,可能导致账户被接管。
二、风险等级:
高危
三、影响范围:
Apache JSPWiki <= 2.11.1
四、修复建议:
目前这些漏洞已经修复,建议受影响用户及时升级更新到2.11.2版本。下载链接:
https://jspwiki-wiki.apache.org/Wiki.jsp?page=Downloads
3 WordPress UpDraftPlus任意文件下载漏洞(CVE-2022-0633)
一、漏洞描述:
WordPress是一个使用PHP语言开发的个人博客系统,用户可以在支持PHP和MySQL数据库的服务器上架设属于自己的网站。也可以把 WordPress当作一个内容管理系统(CMS)来使用。WordPress有许多第三方开发的免费模板,安装方式简单易用,WordPress UpDraftPlus是一个非常流行的计划备份插件,目前有超过300多万次安装。
该漏洞是由于UpDraftPlus插件使用自定义的随机数和时间戳来识别备份文件,从而确保这些备份信息只能被有访问权限的人访问。但是,由于该插件的process_status_in_heartbeat方法,没有正确验证发送心跳请求的用户权限,导致恶意攻击者可以构造恶意请求发送至服务器,从而能够下载服务器上的任意文件。
二、风险等级:
高危
三、影响范围:
1.16.7 <= WordPress UpDraftPlus <= 1.22.2(免费版)
四、修复建议:
目前官方已启动强制更新最新版本,受影响用户也可手动更新至最新版。官方链接:
https://wordpress.org/plugins/updraftplus/
4 Cisco NX-OS Software命令注入漏洞(CVE-2022-20650)
一、漏洞描述:
Cisco NX-OS Software是美国思科(Cisco)公司的一套交换机使用的数据中心级操作系统软件。
Cisco NX-OS 中存在操作系统命令注入漏洞,该漏洞源于产品未对用户发起的HTTP POST请求数据中的内容进行有效验证。攻击者可通过该漏洞执行任意命令。
二、风险等级:
高危
三、影响范围:
Nexus 3000 Series Switches (CSCvz80191)
Nexus 5500 Platform Switches (CSCvz81047)
Nexus 5600 Platform Switches (CSCvz81047)
Nexus 6000 Series Switches (CSCvz81047)
Nexus 9000 Series Switches in standalone NX-OS mode (CSCvz80191)
四、修复建议:
目前官方已发布更新补丁,受影响用户可升级至安全版本。官方链接:
https://tools.cisco.com/security ... -cmdinject-ULukNMZ2 |
发表于 2022-2-26 23:26
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
显身卡