漏洞风险提示（20220412）

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 Asciidoctor-include-ext命令注入漏洞（CVE-2022-24803）
一、漏洞描述：     
       
        Ascidoctor是一个用 Ruby 编写的快速、开源的文本处理器和发布工具链。 Asciidoctor-include-ext是对Asciidoctor的内置（预）处理器的重新实现，用于 include::[] 指令以可扩展和更简洁的方式。
        使用Asciidoctor (Ruby)和0.4.0版本之前的Asciidoctor-include-ext的应用程序，在AsciiDoc标记中渲染用户提供的输入时，可能导致在主机上执行任意系统命令。
二、风险等级：
           高危
三、影响范围：
        Asciidoctor-include-ext ( RubyGems ) < 0.4.0
四、修复建议：
        目前此漏洞已经在Asciidoctor-include-ext 0.4.0中修复，受影响用户可以尽快更新到修复版本。下载链接：
        https://github.com/jirutka/asciidoctor-include-ext/tags
        https://bundler.rubygems.org/gems/asciidoctor-include-ext
        注：如果使用Ruby语言并且在代码中使用 Asciidoc 文档标记，可以通过以下方式排查：
        1. 检查有问题的模块。使用Gem软件包管理器查看是否安装了Asciidoc-include-ext。可以使用 gem list 来显示所有软件包，或者使用 gem list -i "^asciidoc" 来显示所有名称以 asciidoc 开头的模块；
        2. 检查版本号。如果Asciidoc-include-ext 版本< 0.4.0则表明存在此漏洞。

---

2 F5 BIG-IP APM访问控制错误漏洞（CVE-2022-23032）
一、漏洞描述：     
       
        F5 BIG-IP APM是美国F5公司的一套访问和安全解决方案。该产品提供统一访问关键业务应用和网络的功能。
        F5 BIG-IP APM存在访问控制错误漏洞，该漏洞源于在 BIG-IP APM 系统的网络访问资源中配置代理设置时，在 Mac 和 Windows 上连接 BIG-IP Edge Client 很容易受到 DNS 重新绑定攻击。DNS 重新绑定允许外部攻击者绕过同源策略。未经身份验证的远程攻击者可以利用此漏洞窃取代理配置详细信息，包括子域信息和内部 IP 地址。
二、风险等级：
           中危
三、影响范围：
        F5 BIG-IP Access Policy Manager >=12.1.0，<=12.1.6
        F5 BIG-IP Access Policy Manager >=11.6.1，<=11.6.5
        F5 BIG-IP Access Policy Manager >=14.1.0，<=14.1.4
        F5 BIG-IP Access Policy Manager >=15.1.0，<=15.1.5
        F5 BIG-IP Access Policy Manager >=16.0.0，<=16.1.2
        F5 BIG-IP Access Policy Manager >=13.1.0，<=13.1.4
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://support.f5.com/csp/article/K40084114

---

3 Bentley MicroStation文件解析漏洞（CVE-2022-28303）
一、漏洞描述：     
       
        Bentley 软件公司（纳斯达克股票代码：BSY）是一家基础设施工程软件公司。该公司提供创新软件来推进世界基础设施的发展，从而维持全球经济和环境。行业领先的软件解决方案被各种规模的专业人士和组织用于道路和桥梁、轨道和运输、水和废水、公共工程和公用事业、建筑和园区、采矿和工业设施的设计、施工和运营。
        该漏洞允许攻击者利用 MicroStation 的应用程序释放后的缺陷，通过诱骗受害者打开恶意制作的 SKP 文件，造成文件解析漏洞。从而导致在目标系统上提权，执行非法操作。获取企业敏感信息，继承Web服务器权限,读写文件。甚至控制整个网站甚至服务器。
二、风险等级：
           高危
三、影响范围：
        MicroStation <= 10.16.02.*
        Bentley View <= 10.16.02.*
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://www.bentley.com/en/commo ... posure/be-2022-0009

---

4 Delta Electronics DIAEnergie SQL注入漏洞（CVE-2022-26836）
一、漏洞描述：     
       
        DeltaElectronics DIAEnergie工业能源管理系统使公司能够通过手动干预和自动化控制，使用数据采集，系统分析，故障排除和节能诊断，可视化和改进其电力和电力系统，特别是高能耗设备。该系统有助于实时监控和分析能源消耗，计算能源消耗和负载特性，优化设备性能，增强生产过程并最大限度地提高能源效率。
        Delta ElectronicsDIAEnergie（1.8.02.004 之前的所有版本）在 HandlerExport.ashx/Calendar 中存在 SQL 盲注漏洞。这允许攻击者注入任意 SQL 查询、检索和修改数据库内容以及执行系统命令。
二、风险等级：
           高危
三、影响范围：
        DeltaElectronics DIAEnergie <= 1.8.02.004
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://www.deltaww.com/