找回密码
 注册创意安天

漏洞风险提示(20211125)

[复制链接]
发表于 2021-11-25 09:30 | 显示全部楼层 |阅读模式
免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表安天实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与安天实验室一律不予承担。


1 Apache JSPWiki任意文件删除漏洞(CVE-2021-44140)
一、漏洞描述:
        rt0.png
        Apache JSPWiki是一款开源的基于jsp的wiki系统,基于文件系统,具有权限管理和搜索功能。该漏洞使得远程攻击者可以在注销时使用精心设计的 http 请求来删除托管 JSPWiki 实例的系统中的任意文件,前提是运行 JSPWiki 实例的用户可以访问这些文件。
二、风险等级:
          高危
三、影响范围:
        Apache 2.11.0.M8
四、修复建议:
        目前这些漏洞已经修复,建议受影响用户及时升级更新到Apache JSPWiki最新版本。下载链接:
        http://jspwiki.apache.org/



2 SonarQube未授权访问漏洞(CNVD-2021-84502)
一、漏洞描述:
        m1r.png
        SonarQube是一个开源代码质量管理和分析审计平台,支持包括Java,C#,C/C++,PL/SQL,Cobol,JavaScript,Groovy等二十多种编程语言的代码质量管理,可以对项目中的重复代码、程序错误、编写规范、安全漏洞等问题进行检测,并将结果通过SonarQube Web界面进行呈现。
        SonarQube 系统在默认配置下,会将通过审计的源代码上传至SonarQube平台。由于SonarQube缺少对API接口访问的鉴权控制,导致攻击者可以在未授权的情况下通过访问上述API接口,获取SonarQube平台上的程序源代码,造成项目源代码数据泄露风险。

二、风险等级:
          高危
三、影响范围:
        SonarQube < 8.6
四、修复建议:
        目前SonarQube公司已经修复了此漏洞,建议升级更新到SonarQube 8.6或更高版本。
        缓解措施:
        1、更改SonarQube 默认设置,包括更改默认管理员用户名、密码和端口(9000)。
        2、配置开启认证功能,构建双因素认证,并检查未经授权的用户是否访问了该实例。
        3、如果可行,撤销对在 SonarQube 实例中公开的任何应用程序编程接口密钥或其他凭据的访问权限。
        4、将SonarQube 实例配置为组织的防火墙和其他外围防御之后,以防止未经身份验证的访问。



3 Advantech R-SeeNet 安全漏洞(CVE-2021-21912)
一、漏洞描述:
        552.png
        Advantech R-SeeNet是中国台湾研华(Advantech)公司的一个工业监控软件。该软件基于 snmp 协议进行监控平台,并且适用于 Linux、Windows 平台。
        Advantech R-SeeNet 2.4.15版本存在安全漏洞,攻击者可以在系统中替换特制的文件以将权限提升到NT SYSTEM权限。

二、风险等级:
          高危
三、影响范围:
        Advantech R-SeeNet 2.4.15
四、修复建议:
        目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
        https://talosintelligence.com/vu ... rts/TALOS-2021-1360


您需要登录后才可以回帖 登录 | 注册创意安天

本版积分规则

Archiver|手机版|小黑屋|创意安天 ( 京ICP备09068574,ICP证100468号。 )

GMT+8, 2024-12-27 20:44

Powered by Discuz! X3.5

© 2001-2024 Discuz! Team.

快速回复 返回顶部 返回列表