免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表安天实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与安天实验室一律不予承担。
1 Apache ShenYu Admin登录认证绕过漏洞(CVE-2021-37580)
一、漏洞描述:
Apache ShenYu是美国阿帕奇(Apache)基金会的一个异步的,高性能的,跨语言的,响应式的 API 网关。
Apache ShenYu Admin 存在授权问题漏洞,该漏洞源于ShenyuAdminBootstrap 中 JWT 的错误使用允许攻击者绕过身份验证。
二、风险等级:
高危
三、影响范围:
Apache ShenYu=2.3.0/2.4.0
四、修复建议:
厂商已发布升级修复漏洞,用户请尽快更新至安全版本。官方地址:
https://shenyu.apache.org/zh/download
2 Microsoft Azure Active Directory 信息泄露漏洞(CVE-2021-42306)
一、漏洞描述:
Azure Active Directory (Azure AD) 是Microsoft 的云端式身分识别和存取管理服务,可协助员工登入及存取资源。
该信息泄露漏洞是由于用户或app在使用Azure AD Application以及Service Principal的过程中上传了未受保护的私钥作为keyCredential身份认证。成功利用此漏洞可以让用户或拥有读权限的Azure服务读取添加到Azure application中的私钥。
二、风险等级:
高危
三、影响范围:
Azure Automation
Azure Active Directory
Azure Site Recovery
Azure Migrate
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,详情请关注厂商主页:
https://msrc.microsoft.com/updat ... lity/CVE-2021-42306
3 NETGEAR R6400v2 缓冲区错误漏洞(CVE-2021-34991)
一、漏洞描述:
Netgear NETGEAR R6400v2是美国网件(Netgear)公司的一款路由器。连接两个或多个网络的硬件设备,在网络间起网关的作用。
NETGEAR R6400v2存在缓冲区错误漏洞,该漏洞源于 UPnP 服务默认侦听 TCP 端口 5000。在解析 uuid 请求标头时,该进程在将用户提供的数据复制到固定长度的基于堆栈的缓冲区之前没有正确验证它的长度。攻击者可以利用该漏洞在 root 环境中执行代码。
二、风险等级:
高危
三、影响范围:
NETGEAR R6400v2
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://kb.netgear.com/000064361 ... ducts-PSV-2021-0168
4 Microsoft Exchange Server 安全漏洞(CVE-2021-41349)
一、漏洞描述:
Microsoft Exchange Server是美国微软(Microsoft)公司的一套电子邮件服务程序。它提供邮件存取、储存、转发,语音邮件,邮件过滤筛选等功能。
Microsoft Exchange Server存在安全漏洞,攻击者可以操纵DOM,并可以使用它来读取/发送电子邮件、网络钓鱼、在应用程序中执行状态更改操作等。
二、风险等级:
高危
三、影响范围:
Microsoft Exchange Server 2013 Cumulative Update 23
Microsoft Exchange Server 2016 Cumulative Update 21
Microsoft Exchange Server 2016 Cumulative Update 22
Microsoft Exchange Server 2019 Cumulative Update 10
Microsoft Exchange Server 2019 Cumulative Update 11
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://msrc.microsoft.com/updat ... lity/CVE-2021-41349 |