免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表安天实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与安天实验室一律不予承担。
1 Natural Language Toolkit资源管理错误漏洞(CVE-2021-43854)
一、漏洞描述:
Natural Language Toolkit(NLTK)是一款使用Python语言编写的自然语言处理工具包。
该漏洞源于软件对于正则表达式的处理缺少过滤和转义,软件容易受到正则表达式拒绝服务(regular expression denial of service, ReDoS)攻击。对易受攻击的函数中的任何用户都容易受到ReDoS攻击。对这些脆弱的函数进行专门设计的长输入将导致它们花费大量的执行时间。
二、风险等级:
高危
三、影响范围:
Natural Language Toolkit <= 3.6.5
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://github.com/nltk/nltk/sec ... GHSA-f8m6-h2c7-8h9x
2 Fortinet FortiAuthenticator身份验证绕过漏洞(CVE-2021-43068)
一、漏洞描述:
Fortinet FortiAuthenticator是美国飞塔(Fortinet)公司的一款集中式的用户身份管理解决方案。
该漏洞源于该身份验证模块代码存在设计或实现不当的问题。攻击者可利用该漏洞通过RADIUS登录门户绕过第二个身份验证要素。
二、风险等级:
中危
三、影响范围:
FortiAuthenticator = 6.4.0
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://fortiguard.com/advisory/FG-IR-21-212
3 IBM Navigator for i跨站脚本漏洞(CVE-2021-38876)
一、漏洞描述:
IBM Navigator for i是一个Web控制台界面,可在其中执行用于管理 IBM i 的关键任务。IBM Navigator for i 支持 System i 导航器 Windows 客户机应用程序中可用的大部分任务。但是,与 Windows 客户机应用程序不同,不需要在您的工作站上安装任何内容就可使用 IBM Navigator for i。
此漏洞允许用户在 Web UI 中嵌入任意 JavaScript 代码,从而改变预期功能,可能导致可信会话中的凭据泄露。
二、风险等级:
中危
三、影响范围:
IBM Navigator for i = 7.4
IBM Navigator for i = 7.3
IBM Navigator for i = 7.2
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,详情请关注厂商主页:
https://www.ibm.com/
4 Apache NiFi XML外部实体注入漏洞(CVE-2021-44145)
一、漏洞描述:
Apache NiFi是美国阿帕奇(Apache)基金会的一套数据处理和分发系统。该系统主要用于数据路由、转换和系统中介逻辑。
Apache NiFi 的 TransformXML 存在XML外部实体注入(XXE)漏洞,该漏洞源于在1.15.1之前的Apache NiFi的TransformXML处理器中,经过身份验证的用户可以配置XSLT文件,如果该文件包含恶意的外部实体调用,可能会暴露敏感信息。成功利用该漏洞可能允许攻击者查看服务器上任意文件的内容或对内部和外部基础设施进行网络扫描。
二、风险等级:
中危
三、影响范围:
0.1.0 <= Apache NiFi <= 1.15.0
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,详情请关注厂商主页:
https://nifi.apache.org/security.html#1.15.1-vulnerabilities |
发表于 2021-12-30 19:29