找回密码
 注册创意安天

漏洞风险提示(20220124)

[复制链接]
发表于 2022-1-24 07:51 | 显示全部楼层 |阅读模式
免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表安天实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与安天实验室一律不予承担。


1 Mcafee Agent权限提升漏洞(CVE-2022-0166)
一、漏洞描述:
        1.png
        Mcafee McAfee Agent(MA)是美国迈克菲(Mcafee)公司的一套提供了ePolicy Orchestrator(杀毒软件管理平台)与被管理产品之间的安全通信的客户端组件。
        该漏洞源于McAfee Agent在构建过程中使用openssl.cnf将OPENSSLDIR变量指定为安装目录中的子目录。低权限用户可以通过创建特定创建的恶意openssl.cnf文件的适当路径,创建子目录并使用SYSTEM权限执行任意代码。

二、风险等级:
          高危
三、影响范围:
        McAfee Agent < 5.7.5
四、修复建议:
        目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
        https://kc.mcafee.com/corporate/index?page=content&id=SB10378



2 Cisco RCM调试远程代码执行漏洞(CVE-2022-20649)
一、漏洞描述:
        2.png
        Cisco是一间跨国际综合技术企业,主要开发、制作和售卖网络硬件、软件、通信设备等高科技产品及服务。Cisco Redundancy Configuration Manager(RCM)是Cisco专有的节点/网络功能(NF),提供基于StarOS的UP/UPFs的冗余,RCM使用订户微服务基础设施(SMI)开发的,而SMI是一个云本地(CN)应用程序,RCM以基于VM和基于CN的映像的形式提供。
        该漏洞是由于Cisco RCM错误地为特定服务启用了调试模式。攻击者可以通过连接到设备并导航到启用调试模式的服务来利用此漏洞。成功的利用可能允许攻击者以root用户身份执行任意命令。

二、风险等级:
          高危
三、影响范围:
        Cisco RCM < 21.25.4
四、修复建议:
        目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
        https://www.cisco.com/c/en/us/su ... dwide-contacts.html



3 Cisco RCM调试信息泄露漏洞(CVE-2022-20648)
一、漏洞描述:
        2.png
        Mcafee McAfee Agent(MA)是美国迈克菲(Mcafee)公司的一套提供了ePolicy Orchestrator(杀毒软件管理平台)与被管理产品之间的安全通信的客户端组件。
        该漏洞是由于Cisco RCM的调试服务错误地侦听和接受传入连接。攻击者可以通过连接到调试端口并执行调试命令来利用此漏洞。成功的利用可能允许攻击者查看敏感的调试信息。

二、风险等级:
          中危
三、影响范围:
        Cisco RCM < 21.25.4
四、修复建议:
        目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
        https://www.cisco.com/c/en/us/su ... dwide-contacts.html



4 WordPress plugin跨站脚本漏洞(CVE-2022-0166)
一、漏洞描述:
        3.jpg
        WordPress是WordPress(Wordpress)基金会的一套使用PHP语言开发的博客平台。该平台支持在PHP和MySQL的服务器上架设个人博客网站。
        WordPress plugin存在跨站脚本漏洞,该漏洞源于Email Template Designer – WP HTML Mail plugin 3.0.9 版本及之前版本存在跨站点脚本漏洞。

二、风险等级:
          中危
三、影响范围:
        WordPress HTML Mail plugin <= 3.0.9
四、修复建议:
        目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
        https://packetstormsecurity.com/ ... Site-Scripting.html
您需要登录后才可以回帖 登录 | 注册创意安天

本版积分规则

Archiver|手机版|小黑屋|创意安天 ( 京ICP备09068574,ICP证100468号。 )

GMT+8, 2024-12-27 20:30

Powered by Discuz! X3.5

© 2001-2024 Discuz! Team.

快速回复 返回顶部 返回列表