免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表安天实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与安天实验室一律不予承担。
1 Microsof tSharePoint Server远程代码执行漏洞(CVE-2022-22005)
一、漏洞描述:
由于SharePoint Server中存在漏洞,该漏洞允许经过身份验证的用户在SharePoint服务器上执行任意.NET代码与Web应用程序。当攻击者拥有“管理列表”权限时,才能成功利用该漏洞。
二、风险等级:
高危
三、影响范围:
SharePoint Server 2019
SharePoint Server
Subscription Edition
SharePoint Enterprise Server 2016
SharePoint Enterprise Server 2013
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://msrc.microsoft.com/updat ... lity/CVE-2022-22005
2 Apache ShenYu Groovy&SpEL表达式注入漏洞(CVE-2021-45029)
一、漏洞描述:
ShenYu(原名 Soul)是一款高性能,响应式的网关,同时也是应用于所有微服务场景的,可扩展、高性能、响应式的 API 网关解决方案。
Apache ShenYu v2.4.0和v2.4.1版本存在Groovy&SpEL表达式注入漏洞。
二、风险等级:
高危
三、影响范围:
Apache ShenYu v2.4.0
Apache ShenYu v2.4.1
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,详情请关注厂商主页:
https://shenyu.apache.org/zh/event/
3 Cisco NX-OS Software和Cisco FXOS Software 资源管理错误漏洞(CVE-2022-20625)
一、漏洞描述:
Cisco NX-OS Software和Cisco FXOS Software都是美国思科(Cisco)公司的产品。Cisco NX-OS Software是一套交换机使用的数据中心级操作系统软件。Cisco FXOS Software是一套运行在思科安全设备中的防火墙软件。
Cisco FXOS Software 和 Cisco NX-OS Software 的 Cisco Discovery Protocol 存在资源管理错误漏洞,该漏洞源于思科FXOS软件和思科NX-OS软件的思科发现协议服务存在漏洞。攻击者可利用该漏洞导致服务重启,从而导致拒绝服务(DoS)状态。
二、风险等级:
中危
三、影响范围:
Cisco FXOS Software < 2.3
Cisco NX-OS Software < 7.0
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://tools.cisco.com/security ... sa-cdp-dos-G8DPLWYG
4 VMware NSX-T 操作系统命令注入漏洞(CVE-2022-22945)
一、漏洞描述:
Vmware NSX Data Center是美国威睿(Vmware)公司的一个完整的 L2-L7 网络和安全虚拟化平台,为虚机提供了虚拟化的网络,把虚机和物理网络相隔离,做到了网络服务与具体的物理网络设备无关,使得用户在网络设备的选择和采购上有着更大的灵活性。
VMware NSX Data Center for vSphere存在操作系统命令注入漏洞,该漏洞的存在是由于NSX Edge设备组件中不正确的输入验证。可以访问NSX-Edge设备(NSX-V)的本地用户可以将特定的参数传递给未指定的shell实用程序,并作为根用户执行任意的操作系统命令。该漏洞允许本地用户升级系统上的权限。
二、风险等级:
高危
三、影响范围:
VMware NSX-T < 3.x
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,详情请关注厂商主页:
http://www.vmware.com/security/advisories/VMSA-2022-0005.html |
发表于 2022-3-3 09:33
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
显身卡