免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表安天实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与安天实验室一律不予承担。
1 JSON5 原型污染漏洞(CVE-2022-46175)
一、漏洞描述:
JSON是轻量级的存储和交换文本信息的语法格式,Json5是对JSON的扩展。
JSON5 中存在原型污染漏洞,由于未限制对 __proto__ 键的解析,当通过 JSON5.parse 对对象进行解析时可能污染非预期属性,从而造成原型污染,漏洞具体危害需要根据后端代码逻辑而定。
二、风险等级:
高危
三、影响范围:
JSON5 < 2.2.2
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://github.com/squid-cache/s ... GHSA-rcg9-7fqm-83mq
2 LibreNMS命令注入漏洞(CVE-2022-29712)
一、漏洞描述:
LibreNMS是LibreNMS社区的一套基于PHP和MySQL的开源网络监控系统。该系统具有自定义警报、自动发现网络环境和自动更新等特点。
LibreNMS v22.3.0版本存在命令注入漏洞,该漏洞源于service_ip、hostname和 service_param参数未能正确过滤构造命令特殊字符、命令等。攻击者可利用该漏洞导致任意命令执行。
二、风险等级:
高危
三、影响范围:
LibreNMS LibreNMS v22.3.0
四、修复建议:
厂商尚未提供漏洞修复方案,请关注厂商主页更新:
https://github.com/librenms/librenms
3 Selenium Server跨站请求伪造漏洞(CVE-2022-28108)
一、漏洞描述:
Selenium Grid是Selenium社区的一个智能代理服务器。可以轻松地在多台机器上并行运行测试。
Selenium Server 4之前版本存在跨站请求伪造漏洞,攻击者可利用该漏洞伪造恶意请求诱骗受害者点击执行敏感操作。
二、风险等级:
高危
三、影响范围:
Selenium Selenium Server <4
四、修复建议:
厂商尚未提供漏洞修复方案,请关注厂商主页更新:
https://www.selenium.dev/downloads/
4 Google Android代码执行漏洞(CVE-2022-20411)
一、漏洞描述:
Google Android是美国谷歌(Google)公司的一套以Linux为基础的开源操作系统。
Google Android存在安全漏洞,攻击者可利用此漏洞在系统上运行任意代码。
二、风险等级:
高危
三、影响范围:
Google Android 10
Google Android 11
Google Android 13
Google Android 12
Google Android 12L
四、修复建议:
厂商尚未提供漏洞修复方案,请关注厂商主页更新:
https://www.android.com/ |
发表于 2022-12-29 09:50
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
显身卡