找回密码
 注册创意安天

漏洞风险提示(20211127)

[复制链接]
发表于 2021-11-27 09:07 | 显示全部楼层 |阅读模式
免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表安天实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与安天实验室一律不予承担。


1 Gerapy 远程命令执行漏洞(CVE-2021-32849)
一、漏洞描述:
        649.png
        Gerapy是一款基于Scrapy、Scrapyd、Django和Vue.js的分布式爬虫管理框架。
        该漏洞源于程序没有正确清理通过project_clone端点传递给Popen的输入,攻击者可利用该漏洞执行任意命令。

二、风险等级:
          高危
三、影响范围:
        Gerapy <= 0.9.6
四、修复建议:
        临时修复建议:
        如果目前无法升级,若业务环境允许,使用白名单限制web端口的访问来降低风险。
        通用修复建议:
        厂商已经在0.9.7版本中修复上述漏洞,请受影响用户尽快升级到安全版本。下载链接:
        https://github.com/Gerapy/Gerapy/releases



2 Mozilla Firefox Cairo库远程命令执行漏洞(CVE-2021-29972)
一、漏洞描述:
        641.jpg
        Cairo库是一个跨平台2D图形渲染库,Linux上很多程序都直接或间接使用了Cairo库,比如GTK框架。
        攻击者可以利用该漏洞执行任意命令。

二、风险等级:
          高危
三、影响范围:
        Mozilla Firefox < 90
四、修复建议:
        请使用Linux发行版本自身的更新机制(比如apt、yum、rpm),更新所有的软件包。
        注意:使用Cairo库的软件关系错综复杂,所以建议一次性更新所有的软件包,而不是单独更新某个程序。



3 McAfee Policy Auditor跨站脚本漏洞(CVE-2021-31851)
一、漏洞描述:
        015.jpg
        McAfee Policy Auditor 是一款基于代理的 IT 评估解决方案, 它利用安全内容自动化协议(Security Content Automation Protocol,SCAP)来实现内外部 IT 和安全审计流程的自动化。  
        该漏洞允许未经身份验证的远程攻击者通过 profileNodeID 请求参数注入任意 Web 脚本或 HTML。恶意脚本未经修改即反映到基于 Web 的 Policy Auditor 界面中,这可能会导致提取最终用户会话令牌或登录凭据。这些可用于访问其他安全关键应用程序或进行任意跨域请求。

二、风险等级:
          中危
三、影响范围:
        McAfee Policy Auditor < 6.5.2
四、修复建议:
        厂商已发布升级修复漏洞,用户请尽快更新至McAfee Policy Auditor 6.5.2安全版本。下载链接:
        https://www.mcafee.com/enterpris ... ds/my-products.html



4 McAfee Policy Auditor跨站脚本漏洞(CVE-2021-31852)
一、漏洞描述:
        015.jpg
        McAfee Policy Auditor 是一款基于代理的 IT 评估解决方案, 它利用安全内容自动化协议(Security Content Automation Protocol,SCAP)来实现内外部 IT 和安全审计流程的自动化。  
        该漏洞允许未经身份验证的远程攻击者通过 UID 请求参数注入任意 Web 脚本或 HTML。恶意脚本未经修改即反映到基于 Web 的 Policy Auditor 界面中,这可能导致提取最终用户会话令牌或登录凭据。这些可用于访问其他安全关键应用程序或进行任意跨域请求。

二、风险等级:
          中危
三、影响范围:
        McAfee Policy Auditor < 6.5.2
四、修复建议:
        厂商已发布升级修复漏洞,用户请尽快更新至McAfee Policy Auditor 6.5.2安全版本。下载链接:
        https://www.mcafee.com/enterpris ... ds/my-products.html
您需要登录后才可以回帖 登录 | 注册创意安天

本版积分规则

Archiver|手机版|小黑屋|创意安天 ( 京ICP备09068574,ICP证100468号。 )

GMT+8, 2024-12-27 21:09

Powered by Discuz! X3.5

© 2001-2024 Discuz! Team.

快速回复 返回顶部 返回列表