找回密码
 注册创意安天

漏洞风险提示(20211215)

[复制链接]
发表于 2021-12-14 09:44 | 显示全部楼层 |阅读模式
免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表安天实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与安天实验室一律不予承担。


1 Google Chrome多个安全漏洞
一、漏洞描述:
        chrome.jpg
        Google Chrome浏览器是一个由 Google(谷歌) 公司开发的网页浏览器。
        近日,Google发布安全公告,修复了多个存在于Google Chrome中的漏洞。其中,1个严重漏洞,4个高危漏洞。漏洞详情如下:
       
        00.png

二、风险等级:
          高危
三、影响范围:
        Google Chrome < 96.0.4664.110
四、修复建议:
        厂商已发布升级修复漏洞,用户请尽快更新至安全版本:96.0.4664.110。可通过以下任一方式更新:
        1. 通过Chrome浏览器自带的更新服务升级:点击右上角菜单,选择“更新Google Chrome”。
        2. 访问https://www.google.com/chrome/下载最新版本的Chrome安装程序,覆盖安装即可。



2 Hillrom Welch Allyn CardioProducts越权漏洞(CVE-2021-43935)
一、漏洞描述:
       
        Hillrom Welch Allyn CardioProducts是美国Hillrom公司的一个综合的心肺数据管理系统,可以按照您的方式工作,让您可以将任何计算机或笔记本电脑转变为高效的诊断解决方案。
        Hillrom Welch Allyn CardioProducts 存在安全漏洞,攻击者可利用该漏洞访问特权帐户。

二、风险等级:
          高危
三、影响范围:
        Welch Allyn Q-Stress Cardiac Stress Testing System: Versions 6.0.0 through 6.3.1
        Welch Allyn X-Scribe Cardiac Stress Testing System: Versions 5.01 through 6.3.1
        Welch Allyn Diagnostic Cardiology Suite: Version 2.1.0
        Welch Allyn Vision Express: Versions 6.1.0 through 6.4.0
        Welch Allyn H-Scribe Holter Analysis System: Versions 5.01 through 6.4.0
        Welch Allyn R-Scribe Resting ECG System: Versions 5.01 through 7.0.0
        Welch Allyn Connex Cardio: Versions 1.0.0 through 1.1.1

四、修复建议:
        目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
        https://www.cisa.gov/uscert/ics/advisories/icsma-21-343-01



3 Etherpad权限提升漏洞(CVE-2021-43802)
一、漏洞描述:
        ETHERPAD.png
        Etherpad是开源的一个基于Web的在线文档协作工具。多个用户可以通过Etherpad同时编写一个文本文档,并看到所有的参与者的实时编辑。
        Etherpad 1.8.16之前版本存在安全漏洞,该漏洞源于软件对于etherpad文件处理存在问题,攻击者可以制作“*.etherpad”文件,导入该文件后,攻击者可能会获得 Etherpad 实例的管理员权限。

二、风险等级:
          高危
三、影响范围:
        Etherpad < 1.8.16
四、修复建议:
        目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
        https://github.com/ether/etherpa ... GHSA-w3g3-qf3g-2mqc



4 GOautodial路径遍历漏洞(CVE-2021-43176)
一、漏洞描述:
        go.jpg
        GOautodial是下一代开源全渠道联络中心套件。
        GOautodial存在安全漏洞,该漏洞源于软件采用用户提供的action参数并附件php文件扩展名来定位和加载正确的PHP文件,但没有过滤和转义用户的输入,攻击者可以利用该漏洞执行任何php源文件。

二、风险等级:
          高危
三、影响范围:
        GOautodial API < 15a40bc
四、修复建议:
        目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
        https://www.synopsys.com/blogs/s ... al-vulnerabilities/



5 GOautodial身份认证绕过漏洞(CVE-2021-43175)
一、漏洞描述:
        go.jpg
        GOautodial是下一代开源全渠道联络中心套件。
        它允许攻击者访问托管GOautodial的内部网络,无需凭据即可从GOautodial服务器窃取敏感配置数据,例如默认密码。使用这些数据,攻击者可以连接到网络上的其他相关系统,例如VoIP电话。

二、风险等级:
          中危
三、影响范围:
        GOautodial API < 15a40bc
四、修复建议:
        目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
        https://www.synopsys.com/blogs/s ... al-vulnerabilities/


您需要登录后才可以回帖 登录 | 注册创意安天

本版积分规则

Archiver|手机版|小黑屋|创意安天 ( 京ICP备09068574,ICP证100468号。 )

GMT+8, 2024-12-27 08:02

Powered by Discuz! X3.5

© 2001-2024 Discuz! Team.

快速回复 返回顶部 返回列表