找回密码
 注册创意安天

漏洞风险提示(20211203)

[复制链接]
发表于 2021-12-3 09:27 | 显示全部楼层 |阅读模式
免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表安天实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与安天实验室一律不予承担。


1 Mozilla NSS堆溢出漏洞(CVE-2021-43527)
一、漏洞描述:
        nss.jpg
        网络安全服务(NSS)是一个加密库,旨在支持支持安全的客户机和服务器应用程序的跨平台开发。
        该漏洞的存在是由于处理 DER 编码的 DSA 或 RSA-PSS 签名时出现边界错误。远程攻击者可以将在 CMS、S/MIME、PKCS #7 或 PKCS #12 中编码的特制签名发送到应用程序,触发基于堆的缓冲区溢出并在目标系统上执行任意代码。

二、风险等级:
          高危
三、影响范围:
        NSS < 3.73
        NSS < 3.68.1 ESR

四、修复建议:
        目前厂商已发布升级补丁以修复漏洞,详情请关注厂商主页:
        https://packetstormsecurity.com/ ... ory-Corruption.html



2 WordPress Contact Form With Captcha跨站请求伪造漏洞(CVE-2021-42358)
一、漏洞描述:
        wordpress (2).png
        WordPress是Wordpress基金会的一套使用PHP语言开发的博客平台。该平台支持在PHP和MySQL的服务器上架设个人博客网站。WordPress 插件是WordPress开源的一个应用插件。
        WordPress 插件 Contact Form With Captcha 1.6.2及其之前版本存在跨站请求伪造漏洞,该漏洞源于在提交联系人表单时~ cfwc-form.php文件中缺少nonce验证,插件容易受到跨站请求伪造的攻击,这使得攻击者可利用该漏洞有可能注入任意的web脚本。

二、风险等级:
          高危
三、影响范围:
        Contact Form With Captcha <= 1.6.2
四、修复建议:
        目前厂商已发布升级补丁以修复漏洞,详情请关注厂商主页:
        https://wordfence.com/vulnerability-advisories/#CVE-2021-42358



3 Google Chrome资源管理错误漏洞(CVE-2021-30625)
一、漏洞描述:
        hy9.jpg
        Google Chrome是美国谷歌(Google)公司的一款Web浏览器。
        Google chrome存在资源管理错误漏洞,该漏洞的存在是由于 Google Chrome 中的 Selection API 组件中的释放后使用错误。远程攻击者可以创建一个特制的网页,诱使受害者访问它,触发释放后使用错误并在目标系统上执行任意代码。该漏洞允许远程攻击者破坏易受攻击的系统。

二、风险等级:
          高危
三、影响范围:
        Google Chrome 92.0.4515.131 & 94.0.4597.1
四、修复建议:
        目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
        https://chromereleases.googleblo ... te-for-desktop.html



4 Sensio Labs Symfony网络缓存中毒漏洞(CVE-2021-41267)
一、漏洞描述:
        414.png
        Sensio Labs Symfony是法国Sensio Labs公司的一套免费的、基于MVC架构的PHP开发框架。该框架提供常用的功能组件及工具,可用于快速创建复杂的WEB程序。
        Symfony 中存在环境问题漏洞,攻击者可通过伪造包含“X-Forwarded-Prefix”报头的请求,从而导致网络缓存中毒。

二、风险等级:
          中危
三、影响范围:
        Symfony 5.2 版本
四、修复建议:
        目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
        https://github.com/symfony/symfo ... GHSA-q3j3-w37x-hq2q
您需要登录后才可以回帖 登录 | 注册创意安天

本版积分规则

Archiver|手机版|小黑屋|创意安天 ( 京ICP备09068574,ICP证100468号。 )

GMT+8, 2024-12-27 20:49

Powered by Discuz! X3.5

© 2001-2024 Discuz! Team.

快速回复 返回顶部 返回列表