找回密码
 注册创意安天

漏洞风险提示(20220227)

[复制链接]
发表于 2022-2-26 23:26 | 显示全部楼层 |阅读模式
免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表安天实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与安天实验室一律不予承担。


1  Clash For Windows远程代码执行漏洞
一、漏洞描述:
        01.png
        Clash For Windows 是一款基于 Clash 的代理客户端,其广泛应用于 Windows 与 Mac 操作系统。
        该产品在代理规则配置文件中未设置严格的输入检测,攻击者可通过构造代理配置文件中的 XSS Payload 来执行任意 javascript 命令。

二、风险等级:
          高危
三、影响范围:
        Clash For Windows < v0.19.9
四、修复建议:
        参考漏洞影响范围,开发者已发布更新,请下载最新版本以修复该漏洞:
        https://github.com/Fndroid/clash ... releases/tag/0.19.9



2  Apache JSPWiki跨站请求伪造漏洞(CVE-2022-24947)
一、漏洞描述:
        02.png
        Apache JSPWiki是领先的开源Wiki引擎,功能丰富并围绕标准JEE组件(Java、servlet、JSP)构建。
        Apache JSPWiki中存在一个跨站请求伪造漏洞,由于Apache JSPWiki用户首选项表单容易受到CSRF攻击,可能导致账户被接管。

二、风险等级:
          高危
三、影响范围:
        Apache JSPWiki <= 2.11.1
四、修复建议:
        目前这些漏洞已经修复,建议受影响用户及时升级更新到2.11.2版本。下载链接:
        https://jspwiki-wiki.apache.org/Wiki.jsp?page=Downloads



3  WordPress UpDraftPlus任意文件下载漏洞(CVE-2022-0633)
一、漏洞描述:
        wordpress.jpg
        WordPress是一个使用PHP语言开发的个人博客系统,用户可以在支持PHP和MySQL数据库的服务器上架设属于自己的网站。也可以把 WordPress当作一个内容管理系统(CMS)来使用。WordPress有许多第三方开发的免费模板,安装方式简单易用,WordPress UpDraftPlus是一个非常流行的计划备份插件,目前有超过300多万次安装。
        该漏洞是由于UpDraftPlus插件使用自定义的随机数和时间戳来识别备份文件,从而确保这些备份信息只能被有访问权限的人访问。但是,由于该插件的process_status_in_heartbeat方法,没有正确验证发送心跳请求的用户权限,导致恶意攻击者可以构造恶意请求发送至服务器,从而能够下载服务器上的任意文件。

二、风险等级:
          高危
三、影响范围:
        1.16.7 <= WordPress UpDraftPlus <= 1.22.2(免费版)
四、修复建议:
        目前官方已启动强制更新最新版本,受影响用户也可手动更新至最新版。官方链接:
        https://wordpress.org/plugins/updraftplus/



4  Cisco NX-OS Software命令注入漏洞(CVE-2022-20650)
一、漏洞描述:
       
        Cisco NX-OS Software是美国思科(Cisco)公司的一套交换机使用的数据中心级操作系统软件。
        Cisco NX-OS 中存在操作系统命令注入漏洞,该漏洞源于产品未对用户发起的HTTP POST请求数据中的内容进行有效验证。攻击者可通过该漏洞执行任意命令。

二、风险等级:
          高危
三、影响范围:
        Nexus 3000 Series Switches (CSCvz80191)
        Nexus 5500 Platform Switches (CSCvz81047)
        Nexus 5600 Platform Switches (CSCvz81047)
        Nexus 6000 Series Switches (CSCvz81047)
        Nexus 9000 Series Switches in standalone NX-OS mode (CSCvz80191)

四、修复建议:
        目前官方已发布更新补丁,受影响用户可升级至安全版本。官方链接:
        https://tools.cisco.com/security ... -cmdinject-ULukNMZ2
您需要登录后才可以回帖 登录 | 注册创意安天

本版积分规则

Archiver|手机版|小黑屋|创意安天 ( 京ICP备09068574,ICP证100468号。 )

GMT+8, 2024-12-27 20:44

Powered by Discuz! X3.5

© 2001-2024 Discuz! Team.

快速回复 返回顶部 返回列表