漏洞风险提示（20221201）

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 Dell PowerStore操作系统命令注入漏洞（CVE-2022-26868）
一、漏洞描述：     
       
        Dell PowerStore全闪存数据存储设备采用以数据为中心、具有高度适应性的智能基础架构来提供AppsON功能，实现传统和现代工作负载的转型。
        Dell PowerStore存在操作系统命令注入漏洞，攻击者可利用该漏洞在应用程序的底层操作系统上执行任意操作系统命令。
二、风险等级：
           高危
三、影响范围：
        DELL Dell PowerStore 2.0.0.*
        DELL Dell PowerStore 2.0.1.*
        DELL Dell PowerStore 2.1.0.*
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://www.dell.com/support/kbdoc/000196367

---

2 Synology Calendar跨站请求伪造漏洞（CVE-2022-22686）
一、漏洞描述：     
       
        Synology Calendar是中国台湾群晖科技（Synology）公司的一款运行在Synology NAS（网络存储服务器）设备上的文件保护程序。
        Synology Calendar 2.3.4-0631之前版本存在跨站请求伪造漏洞，该漏洞源于webapi 组件未充分验证请求是否来自可信用户。攻击者可利用此漏洞伪造恶意请求诱骗受害者点击执行敏感操作。
二、风险等级：
           高危
三、影响范围：
        Synology Synology Calendar <2.3.4-0631
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://www.synology.cn/zh-cn/security/advisory/Synology_SA_20_07

---

3 IdeaRe SpA IdeaRE RefTree文件上传漏洞（CVE-2022-27249）
一、漏洞描述：     
        IdeaRe SpA IdeaRE RefTree是意大利亚IdeaRe SpA公司的一个用于管理复杂房地产情况的 Web 应用程序。
        IdeaRe SpA IdeaRE RefTree 2021.09.17之前版本存在文件上传漏洞，该漏洞源于应用对上传的文件缺少有效的验证。攻击者可利用此漏洞上传恶意文件从而远程执行任意代码。
二、风险等级：
           高危
三、影响范围：
        IdeaRe SpA IdeaRE RefTree < 2021.09.17
四、修复建议：
        厂商尚未提供漏洞修复方案，请关注厂商主页更新：
        https://packetstormsecurity.com/ ... e-Shell-Upload.html

---

4 Tuxera NTFS-3G代码注入漏洞（CVE-2022-30785）
一、漏洞描述：     
       
        Tuxera NTFS-3G是芬兰Tuxera公司的一套开源的、跨平台的用于支持NTFS分区读写的驱动程序。
        Tuxera NTFS-3G存在代码注入漏洞，该漏洞源于fuse_lib_readdir存在任意内存读取和写入问题，攻击者可利用该漏洞导致执行任意特权代码。
二、风险等级：
           高危
三、影响范围：
        Tuxera Tuxera NTFS-3G <2021.8.22
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://github.com/tuxera/ntfs-3 ... GHSA-6mv4-4v73-xw58