漏洞风险提示（20220318）

发表于 2022-3-17 13:53

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

1 通达OA 2000 SQL注入漏洞（CVE-2022-23902）
一、漏洞描述：

      通达OA（Office Anywhere网络智能办公系统）是由北京通达信科科技有限公司自主研发的协同办公自动化软件，是与中国企业管理实践相结合形成的综合管理办公平台。通达OA为各行业不同规模的众多用户提供信息化管理能力，包括流程审批、行政办公、日常事务、数据统计分析、即时通讯、移动办公等，帮助广大用户降低沟通和管理成本，提升生产和决策效率。
      Tongda2000 中存在SQL注入漏洞，该漏洞源于产品export_data.php文件中的d_name参数未对用户输入数据中的特殊字符做安全处理。攻击者可通过该漏洞执行恶意SQL语句。
二、风险等级：
         高危
三、影响范围：
      Tongda Tongda2000 v11.10
四、修复建议：
      目前厂商暂未发布修复措施解决此安全问题，建议使用此软件的用户随时关注厂商主页或参考网址以获取解决办法：
      https://www.tongda2000.com/download/p2019.php?F=baidu_natural&K=

2 Expat Amazon Linux AMI 命令注入漏洞（CVE-2022-23852）
一、漏洞描述：

      Amazon Linux AMI 是由Amazon Web Services 提供的受支持和维护的 Linux 映像，用于 Amazon Elastic Compute Cloud (Amazon EC2)。它旨在为 Amazon EC2 上运行的应用程序提供稳定、安全和高性能的执行环境。它支持最新的EC2 实例类型功能，并包含能够轻松与 AWS 集成的软件包。
      根据最新公布的漏洞详情，Expat（又名libexpat）在XML_GetBuffer 中有一个符号整数溢出问题，用于具有非零 XML_CONTEXT_BYTES 的配置。攻击者可利用XML _GetBuffer中的整数溢出的问题，通过将特制数据传递给应用程序，从而触发整数溢出，导致在目标系统上执行任意代码。
二、风险等级：
         中危
三、影响范围：
      Expat Amazon Linux AMI= 2017.03
四、修复建议：
      厂商已发布了漏洞修复程序，请及时关注更新：
      https://alas.aws.amazon.com/cve/html/CVE-2022-23852.html

3 WP Statistics SQL注入漏洞（CVE-2022-0513）
一、漏洞描述：

      WP Statistics 是一个非常强大的统计分析插件，通过这个插件用户可以比较详细地了解到访问网站的运行信息，比如访问量、来源、阅读量等。该插件13.1.4及以前版本存在CVE-2022-0513认证前SQL注入漏洞。
二、风险等级：
         高危
三、影响范围：
      WP Stastics < 13.1.4
四、修复建议：
      目前官方已发布更新补丁，受影响用户可升级至安全版本。官方链接：
      https://packetstormsecurity.com/ ... -SQL-Injection.html

4 Google Chrome远程代码执行漏洞（CVE-2022-0971）
一、漏洞描述：

      Google Chrome是美国谷歌（Google）公司的一款Web浏览器。
Google Chrome的Blink Layout 存在远程代码执行漏洞，该漏洞源于Blink Layout组件释放后重用。远程攻击者可以创建特制的网页，诱使受害者访问该网页，在无错误后触发使用，并在目标系统上执行任意代码。
二、风险等级：
         高危
三、影响范围：
      Google Chrome < 99.0.4844.74
四、修复建议：
      目前官方已发布更新补丁，受影响用户可升级至安全版本。官方链接：
      https://github.com/star7th/showd ... 93eaca2036f5d1dbef8

		自动登录	找回密码
密码			注册创意安天

漏洞风险提示（20220318）

浏览过的版块