漏洞风险提示（20220320）

发表于 2022-3-19 16:01

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

1 Microweber跨站脚本漏洞（CVE-2022-0954）
一、漏洞描述：
捕获1.JPG

   Microweber是一款美国Microweber社区开发的开源系统的拖拽式企业网站建设专用工具，也是一款功能强劲的新一代CMS，内嵌电子商务功能。不管您的网站是什么，不论是网上商城、商务网站或是个人网站，您都能够用Microweber轻轻松松地创建。
      Microweber 1.2.11之前版本存在跨站脚本漏洞，该漏洞源于模板名称、模板类型、发件人名称、发件人电子邮件和主题参数缺少对用户提供的数据和输出的数据校验过滤。攻击者可利用该漏洞在客户端执行JavaScript代码窃取其cookie来危及该用户。
二、风险等级：
         高危
三、影响范围：
      Microweber Microweber < 1.2.11
四、修复建议：
      目前官方已发布更新补丁，受影响用户可升级至安全版本。官方链接：
      https://github.com/microweber/mi ... 2e3b120b004082ac3f7

2 Terramaster TOS命令注入漏洞（CVE-2022-24990）
一、漏洞描述：

      Terramaster TOS是中国铁威马（Terramaster）公司的一款基于Linux平台的，专用于erraMaster云存储NAS服务器的操作系统。
Terramaster TOS 存在命令注入漏洞，该漏洞源于api.php脚本中的webNasIPS 组件中的输入验证不正确。未经身份验证的攻击者可以发送特殊数据利用该漏洞并在目标系统上执行任意命令。
二、风险等级：
         高危
三、影响范围：
      Terramaster TOS <= 4.2.30
四、修复建议：
      目前官方已发布更新补丁，受影响用户可升级至安全版本。官方链接：
      https://www.terra-master.com/jp/tos/

3 Red Hat Vscode-Xml代码问题漏洞（CVE-2022-0671）
一、漏洞描述：

      Red Hat Vscode-Xml是美国红帽（Red Hat）公司的一个开源的 Xml 语言支持。在 Visual Studio Code 中编辑 Xml 变得容易。
Red Hat Vscode-Xml 存在代码问题漏洞，该漏洞源于在0.19.0之前版本的vcode -xml中发现了一个缺陷。攻击者可利用该漏洞通过大文件导致盲SSRF或DoS。
二、风险等级：
         高危
三、影响范围：
      Red Hat Vscode-Xml < 0.19.0
四、修复建议：
      目前官方已发布更新补丁，受影响用户可升级至安全版本。官方链接：
      https://github.com/redhat-develo ... 90-february-14-2022

4 WordPress plugin Insight Core身份验证绕过漏洞（CVE-2021-24950）
一、漏洞描述：

      WordPress是Wordpress基金会的一套使用PHP语言开发的博客平台。该平台支持在PHP和MySQL的服务器上架设个人博客网站。WordPress plugin是WordPress开源的一个应用插件。
WordPress plugin Insight Core存在安全漏洞，该漏洞源于没有任何授权和 CSRF 检查insight_customizer_options_import（适用于任何经过身份验证的用户），在将用户输入传递给unserialize() 之前不会验证用户输入，也不会在将其输出到响应中之前对其进行清理和转义。 [size]
二、风险等级：
         中危
三、影响范围：
      WordPress Plugin Insight Core < 1.0
四、修复建议：
      目前官方已发布更新补丁，受影响用户可升级至安全版本。官方链接：
      https://wpscan.com/vulnerability ... 9-9ae4-c1f70016bb75

		自动登录	找回密码
密码			注册创意安天