漏洞风险提示（20211215）

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 Google Chrome多个安全漏洞
一、漏洞描述：
       
        Google Chrome浏览器是一个由 Google(谷歌) 公司开发的网页浏览器。
        近日，Google发布安全公告，修复了多个存在于Google Chrome中的漏洞。其中，1个严重漏洞，4个高危漏洞。漏洞详情如下：
       
       
二、风险等级：
          高危
三、影响范围：
        Google Chrome < 96.0.4664.110
四、修复建议：
        厂商已发布升级修复漏洞，用户请尽快更新至安全版本：96.0.4664.110。可通过以下任一方式更新：
        1. 通过Chrome浏览器自带的更新服务升级：点击右上角菜单，选择“更新Google Chrome”。
        2. 访问https://www.google.com/chrome/下载最新版本的Chrome安装程序，覆盖安装即可。

---

2 Hillrom Welch Allyn CardioProducts越权漏洞（CVE-2021-43935）
一、漏洞描述：
       
        Hillrom Welch Allyn CardioProducts是美国Hillrom公司的一个综合的心肺数据管理系统，可以按照您的方式工作，让您可以将任何计算机或笔记本电脑转变为高效的诊断解决方案。
        Hillrom Welch Allyn CardioProducts 存在安全漏洞，攻击者可利用该漏洞访问特权帐户。
二、风险等级：
          高危
三、影响范围：
        Welch Allyn Q-Stress Cardiac Stress Testing System: Versions 6.0.0 through 6.3.1
        Welch Allyn X-Scribe Cardiac Stress Testing System: Versions 5.01 through 6.3.1
        Welch Allyn Diagnostic Cardiology Suite: Version 2.1.0
        Welch Allyn Vision Express: Versions 6.1.0 through 6.4.0
        Welch Allyn H-Scribe Holter Analysis System: Versions 5.01 through 6.4.0
        Welch Allyn R-Scribe Resting ECG System: Versions 5.01 through 7.0.0
        Welch Allyn Connex Cardio: Versions 1.0.0 through 1.1.1
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://www.cisa.gov/uscert/ics/advisories/icsma-21-343-01

---

3 Etherpad权限提升漏洞（CVE-2021-43802）
一、漏洞描述：
       
        Etherpad是开源的一个基于Web的在线文档协作工具。多个用户可以通过Etherpad同时编写一个文本文档，并看到所有的参与者的实时编辑。
        Etherpad 1.8.16之前版本存在安全漏洞，该漏洞源于软件对于etherpad文件处理存在问题，攻击者可以制作“*.etherpad”文件，导入该文件后，攻击者可能会获得 Etherpad 实例的管理员权限。
二、风险等级：
          高危
三、影响范围：
        Etherpad < 1.8.16
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://github.com/ether/etherpa ... GHSA-w3g3-qf3g-2mqc

---

4 GOautodial路径遍历漏洞（CVE-2021-43176）
一、漏洞描述：
       
        GOautodial是下一代开源全渠道联络中心套件。
        GOautodial存在安全漏洞，该漏洞源于软件采用用户提供的action参数并附件php文件扩展名来定位和加载正确的PHP文件，但没有过滤和转义用户的输入，攻击者可以利用该漏洞执行任何php源文件。
二、风险等级：
          高危
三、影响范围：
        GOautodial API < 15a40bc
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://www.synopsys.com/blogs/s ... al-vulnerabilities/

---

5 GOautodial身份认证绕过漏洞（CVE-2021-43175）
一、漏洞描述：
       
        GOautodial是下一代开源全渠道联络中心套件。
        它允许攻击者访问托管GOautodial的内部网络，无需凭据即可从GOautodial服务器窃取敏感配置数据，例如默认密码。使用这些数据，攻击者可以连接到网络上的其他相关系统，例如VoIP电话。
二、风险等级：
          中危
三、影响范围：
        GOautodial API < 15a40bc
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://www.synopsys.com/blogs/s ... al-vulnerabilities/

---