漏洞风险提示（20221122）

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 Apache Airflow代码注入漏洞（CVE-2022-40127）
一、漏洞描述：     
       
        Apache Airflow是美国阿帕奇（Apache）基金会的一套用于创建、管理和监控工作流程的开源平台。该平台具有可扩展和动态监控等特点。
        Apache Airflow存在代码注入漏洞，该漏洞源于用户输入构造执行命令过程中，网络系统或产品未能正确过滤其中的特殊字符、命令等，具有UI访问权限的攻击者可利用该漏洞触发DAGs，通过手动提供run_id参数执行任意命令。
二、风险等级：
           高危
三、影响范围：
        Apache Apache Airflow <2.4.0
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://github.com/apache/airflow/pull/25960

---

2 Apache Airflow信息泄露漏洞（CVE-2022-27949）
一、漏洞描述：     
       
        Apache Airflow是美国阿帕奇（Apache）基金会的一套用于创建、管理和监控工作流程的开源平台。该平台具有可扩展和动态监控等特点。
        Apache Airflow 2.3.1之前版本存在信息泄露漏洞，该漏洞源于应用对于敏感信息保护不足，攻击者可利用该漏洞查看未执行任务的渲染模板值中未屏蔽的秘密。
二、风险等级：
           高危
三、影响范围：
        Apache Apache Airflow <2.3.1
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://lists.apache.org/thread/n38oc5obb48600fsvnbopxcs0jpbp65p

---

3 Apache SOAP身份验证错误漏洞（CVE-2022-45378）
一、漏洞描述：     
       
        Apache SOAP是美国阿帕奇（Apache）基金会的用作客户端库来调用其他地方可用的 SOAP服务，也可以用作服务器端工具来实现SOAP可访问服务。
        Apache SOAP存在身份验证错误漏洞，该漏洞源于RPCRouterServlet无需身份验证即可使用，攻击者可利用该漏洞有可能在满足特定条件的类路径上调用方法，根据类路径上可用的类可能导致任意远程代码执行。
二、风险等级：
           高危
三、影响范围：
        Apache SOAP <=2.3
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://lists.apache.org/thread/g4l64s283njhnph2otx7q4gs2j952d31

---

4 Adobe Illustrator缓冲区溢出漏洞（CVE-2022-38436 ）
一、漏洞描述：     
       
        Adobe Illustrator是美国奥多比（Adobe）公司的一套基于向量的图像制作软件。
        Adobe Illustrator存在缓冲区溢出漏洞，攻击者利用该漏洞触发任意代码执行。
二、风险等级：
           高危
三、影响范围：
        Adobe Illustrator >=26.0，<=26.4
        Adobe Illustrator <=25.4.7
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://helpx.adobe.com/security ... ator/apsb22-56.html