免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表安天实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与安天实验室一律不予承担。
1 VoIPmonitor SQL 注入漏洞(CVE-2022-24260)
一、漏洞描述:
VoIPmonitor旨在根据ITU-T G.107 E模型分析基于网络参数的VoIP呼叫质量延迟变化和数据包丢失。VoIPmonitor可以解码语音并通过商业WEB GUI播放,还可以将其作为WAV保存到磁盘。
近期,VoIPmonitor官方公布其产品出现SQL 注入漏洞。根据漏洞详情,未经授权的攻击者可利用在 GUI 的 “api.php”和“utilities.php”组件中SQL注入漏洞,构造恶意的SQL请求,达到欺骗服务器的目的,执行违法的对用户有害的SQL命令
二、风险等级:
高危
三、影响范围:
VoIPmonitor < 24.99
四、修复建议:
厂商已发布升级修复漏洞,用户请尽快更新至安全版本。补丁获取链接:
https://www.voipmonitor.org/changelog-gui?major=5
2 JqueryForm.com Jquery Form Builder 跨站脚本漏洞(CVE-2022-24981)
一、漏洞描述:
JqueryForm.com Jquery Form Builder是JqueryForm.com公司的一个表单生成器。
JQueryForm.com Jquery Form Builder存在跨站脚本漏洞,该漏洞源于 JQueryForm.com 在 2022 年 2 月 5 日之前生成的表单中的反射式跨站脚本 (XSS) 漏洞允许远程攻击者通过重定向参数向 admin.php 注入任意 Web 脚本或 HTML。
二、风险等级:
中危
三、影响范围:
JQueryForm.com 在 2022 年 2 月 5 日之前生成的表单
四、修复建议:
详情请关注厂商主页:
https://jqueryform.com/
3 WordPress和WordPress plugin SQL注入漏洞(CVE-2022-0651)
一、漏洞描述:
WordPress是Wordpress基金会的一套使用PHP语言开发的博客平台。该平台支持在PHP和MySQL的服务器上架设个人博客网站。WordPress plugin是WordPress开源的一个应用插件。
WordPress plugin WP Statistics 存在SQL注入漏洞,攻击者可利用该漏洞在没有身份验证的情况下注入任意SQL查询以获取敏感信息。
二、风险等级:
中危
三、影响范围:
WP Statistics <= 13.1.5
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://www.wordfence.com/vulnerability-advisories/#CVE-2022-0651
4 GitLab Community Edition 和 Enterprise Edition 信息泄露漏洞(CVE-2022-0735 )
一、漏洞描述:
GitLab Enterprise Edition是一套内容管理系统。GitLab Gitlab Community Edition是美国GitLab公司的一种社区版 GitLab 。
GitLab Community Edition (CE) and Enterprise Edition (EE)存在信息泄露漏洞,该漏洞源于应用程序输出的数据过多。远程用户可以使用快速操作命令通过该漏洞窃取跑步者注册令牌。
二、风险等级:
中危
三、影响范围:
GitLab 4.8.2, 14.7.4,14.6.5
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,详情请关注厂商主页:
https://about.gitlab.com/release ... ab-14-8-2-released/[/url] |
发表于 2022-3-5 09:51
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
显身卡