免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表安天实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与安天实验室一律不予承担。
1 SuiteCRM远程命令执行漏洞(CVE-2021-45897)
一、漏洞描述:
SuiteCRM是SuiteCRM(Suitecrm)团队的一个客户关系管理系统,它是全球排名第一的开源CRM系统,自最初发布以来已被下载超过 800,000 次。
SuiteCRM允许用户创建邮件模板,并支持添加附件。该漏洞允许攻击将任意附件添加到邮件模板,通过构造恶意邮件内容进行解析,来达到远程代码执行的目的。
二、风险等级:
高危
三、影响范围:
SuiteCRM < 7.12.3
SuiteCRM < 8.0.2
四、修复建议:
目前官方已发布更新补丁,受影响用户可升级至安全版本。官方链接:
https://suitecrm.com/download/
2 Mozilla Firefox Use-after-free漏洞(CVE-2022-26485)
一、漏洞描述:
Mozilla Firefox是美国Mozilla基金会的一款开源Web浏览器。
Mozilla Firefox 97之前版本存在Use-after-free漏洞,该漏洞源于处理XSLT参数时出现“释放后使用”错误。攻击者可利用该漏洞诱骗受害者打开精心构建的网页,在系统上执行任意代码。
二、风险等级:
高危
三、影响范围:
Firefox 版本 < 97.0.2
Firefox ESR 版本 < 91.6.1
Firefox for Android 版本 < 97.3
Focus 版本 < 97.3
Thunderbird 版本 < 91.6.2
四、修复建议:
目前官方已发布更新补丁,受影响用户可升级至安全版本。官方链接:
https://www.firefox.com.cn/
3 Github spirit输入验证错误漏洞(CVE-2022-0869)
一、漏洞描述:
Github spirit是一个使用 Django 框架构建的基于 Python 的论坛。
GitHub 0.12.3之前版本的 nitely/spirit 存在输入验证错误漏洞,该漏洞源于发送请求会导致不安全的重定向。
二、风险等级:
中危
三、影响范围:
GitHub <= 0.12.3
四、修复建议:
目前官方已发布更新补丁,受影响用户可升级至安全版本。官方链接:
https://github.com/nitely/spirit ... d167059d32146fb32ef
4 Linux Dirty Pipe权限提升漏洞(CVE-2022-0847)
一、漏洞描述:
Linux 管道Pipe作为Unix操作系统悠久的IPC机制,存在于各个版本的Unix系统中。其功能主要用于父子进程间的通信,Pipe系统底层调用的实现相当于一个特殊的文件系统。
该漏洞源于Linux 内核中的 copy_page_to_iter_pipe 和 push_pipe 函数中初始化的方式存在缺陷,可使非root本地用户利用此漏洞写入覆盖任意可读文件中的数据,从而可将本地普通用户提升到特权用户。
二、风险等级:
高危
三、影响范围:
5.8 <= Linux 内核版本 < 5.16.11 / 5.15.25 / 5.10.102
四、修复建议:
目前官方已发布更新补丁,受影响用户可升级至安全版本。官方链接:
https://git.kernel.org/pub/scm/l ... fee6737ee4446017903 |
发表于 2022-3-8 09:46
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
显身卡