找回密码
 注册创意安天

漏洞风险提示(20220308)

[复制链接]
发表于 2022-3-8 09:46 | 显示全部楼层 |阅读模式
免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表安天实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与安天实验室一律不予承担。


1 SuiteCRM远程命令执行漏洞(CVE-2021-45897)
一、漏洞描述:
        
        SuiteCRM是SuiteCRM(Suitecrm)团队的一个客户关系管理系统,它是全球排名第一的开源CRM系统,自最初发布以来已被下载超过 800,000 次。
        SuiteCRM允许用户创建邮件模板,并支持添加附件。该漏洞允许攻击将任意附件添加到邮件模板,通过构造恶意邮件内容进行解析,来达到远程代码执行的目的。

二、风险等级:
        高危
三、影响范围:
        SuiteCRM < 7.12.3
        SuiteCRM < 8.0.2

四、修复建议:
        目前官方已发布更新补丁,受影响用户可升级至安全版本。官方链接:
        https://suitecrm.com/download/



2 Mozilla Firefox Use-after-free漏洞(CVE-2022-26485)
一、漏洞描述:
        
        Mozilla Firefox是美国Mozilla基金会的一款开源Web浏览器。
        Mozilla Firefox 97之前版本存在Use-after-free漏洞,该漏洞源于处理XSLT参数时出现“释放后使用”错误。攻击者可利用该漏洞诱骗受害者打开精心构建的网页,在系统上执行任意代码。

二、风险等级:
        高危
三、影响范围:
        Firefox 版本 < 97.0.2
        Firefox ESR 版本 < 91.6.1
        Firefox for Android 版本 < 97.3
        Focus 版本 < 97.3        
        Thunderbird 版本 < 91.6.2

四、修复建议:
        目前官方已发布更新补丁,受影响用户可升级至安全版本。官方链接:
        https://www.firefox.com.cn/



3  Github spirit输入验证错误漏洞(CVE-2022-0869)
一、漏洞描述:
        
        Github spirit是一个使用 Django 框架构建的基于 Python 的论坛。
        GitHub 0.12.3之前版本的 nitely/spirit 存在输入验证错误漏洞,该漏洞源于发送请求会导致不安全的重定向。

二、风险等级:
        中危
三、影响范围:
        GitHub <= 0.12.3
四、修复建议:
        目前官方已发布更新补丁,受影响用户可升级至安全版本。官方链接:
        https://github.com/nitely/spirit ... d167059d32146fb32ef



4  Linux Dirty Pipe权限提升漏洞(CVE-2022-0847)
一、漏洞描述:
       
        Linux 管道Pipe作为Unix操作系统悠久的IPC机制,存在于各个版本的Unix系统中。其功能主要用于父子进程间的通信,Pipe系统底层调用的实现相当于一个特殊的文件系统。
        该漏洞源于Linux 内核中的 copy_page_to_iter_pipe 和 push_pipe 函数中初始化的方式存在缺陷,可使非root本地用户利用此漏洞写入覆盖任意可读文件中的数据,从而可将本地普通用户提升到特权用户。
二、风险等级:
        高危
三、影响范围:
        5.8 <= Linux 内核版本 < 5.16.11 / 5.15.25 / 5.10.102
四、修复建议:
        目前官方已发布更新补丁,受影响用户可升级至安全版本。官方链接:
        https://git.kernel.org/pub/scm/l ... fee6737ee4446017903
您需要登录后才可以回帖 登录 | 注册创意安天

本版积分规则

Archiver|手机版|小黑屋|创意安天 ( 京ICP备09068574,ICP证100468号。 )

GMT+8, 2024-11-27 07:12

Powered by Discuz! X3.5

© 2001-2024 Discuz! Team.

快速回复 返回顶部 返回列表