免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表安天实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与安天实验室一律不予承担。
1 Gerapy 远程命令执行漏洞(CVE-2021-32849)
一、漏洞描述:
Gerapy是一款基于Scrapy、Scrapyd、Django和Vue.js的分布式爬虫管理框架。
该漏洞源于程序没有正确清理通过project_clone端点传递给Popen的输入,攻击者可利用该漏洞执行任意命令。
二、风险等级:
高危
三、影响范围:
Gerapy <= 0.9.6
四、修复建议:
临时修复建议:
如果目前无法升级,若业务环境允许,使用白名单限制web端口的访问来降低风险。
通用修复建议:
厂商已经在0.9.7版本中修复上述漏洞,请受影响用户尽快升级到安全版本。下载链接:
https://github.com/Gerapy/Gerapy/releases
2 Mozilla Firefox Cairo库远程命令执行漏洞(CVE-2021-29972)
一、漏洞描述:
Cairo库是一个跨平台2D图形渲染库,Linux上很多程序都直接或间接使用了Cairo库,比如GTK框架。
攻击者可以利用该漏洞执行任意命令。
二、风险等级:
高危
三、影响范围:
Mozilla Firefox < 90
四、修复建议:
请使用Linux发行版本自身的更新机制(比如apt、yum、rpm),更新所有的软件包。
注意:使用Cairo库的软件关系错综复杂,所以建议一次性更新所有的软件包,而不是单独更新某个程序。
3 McAfee Policy Auditor跨站脚本漏洞(CVE-2021-31851)
一、漏洞描述:
McAfee Policy Auditor 是一款基于代理的 IT 评估解决方案, 它利用安全内容自动化协议(Security Content Automation Protocol,SCAP)来实现内外部 IT 和安全审计流程的自动化。
该漏洞允许未经身份验证的远程攻击者通过 profileNodeID 请求参数注入任意 Web 脚本或 HTML。恶意脚本未经修改即反映到基于 Web 的 Policy Auditor 界面中,这可能会导致提取最终用户会话令牌或登录凭据。这些可用于访问其他安全关键应用程序或进行任意跨域请求。
二、风险等级:
中危
三、影响范围:
McAfee Policy Auditor < 6.5.2
四、修复建议:
厂商已发布升级修复漏洞,用户请尽快更新至McAfee Policy Auditor 6.5.2安全版本。下载链接:
https://www.mcafee.com/enterpris ... ds/my-products.html
4 McAfee Policy Auditor跨站脚本漏洞(CVE-2021-31852)
一、漏洞描述:
McAfee Policy Auditor 是一款基于代理的 IT 评估解决方案, 它利用安全内容自动化协议(Security Content Automation Protocol,SCAP)来实现内外部 IT 和安全审计流程的自动化。
该漏洞允许未经身份验证的远程攻击者通过 UID 请求参数注入任意 Web 脚本或 HTML。恶意脚本未经修改即反映到基于 Web 的 Policy Auditor 界面中,这可能导致提取最终用户会话令牌或登录凭据。这些可用于访问其他安全关键应用程序或进行任意跨域请求。
二、风险等级:
中危
三、影响范围:
McAfee Policy Auditor < 6.5.2
四、修复建议:
厂商已发布升级修复漏洞,用户请尽快更新至McAfee Policy Auditor 6.5.2安全版本。下载链接:
https://www.mcafee.com/enterpris ... ds/my-products.html |
发表于 2021-11-27 09:07