设为首页

创意安天

 找回密码
 注册创意安天
创意安天»论坛 社区服务 傲气安天 安全预警 漏洞风险提示(20220326)
返回列表 发新帖

漏洞风险提示(20220326)

[复制链接]
发表于 2022-3-26 06:56 | 显示全部楼层 |阅读模式
免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表安天实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与安天实验室一律不予承担。

1 VMware App Control文件上传漏洞(CVE-2022-22952)
一、漏洞描述:     
          vmware.jpg
         VMware Carbon Black App Control是 Vmware 的一款应用控制产品,用于锁定服务器和关键系统,防止不必要的更改。
         对 VMware App Control 管理界面具有管理访问权限的攻击者,可以通过上传一个设计的文件,在安装了 AppC Server 的 Windows 实例上执行代码。
二、风险等级:
           高危
三、影响范围:
          8.8.x <= VMware Carbon Black App Control < 8.8.2
          8.7.x <= VMware Carbon Black App Control < 8.7.4
          8.6.x <= VMware Carbon Black App Control < 8.6.6
          8.5.x <= VMware Carbon Black App Control < 8.5.14
四、修复建议:
        目前官方已发布更新补丁,请受影响用户及时安装更新补丁,官方链接:
        https://community.carbonblack.co ... 2/ta-p/111804#M3557

2 Red Hat expat代码执行漏洞(CVE-2022-25236)
一、漏洞描述:     
          Red Hat.png
         Red Hat(红帽)公司(NYSE:RHT)是一家开源解决方案供应商,也是标准普尔500指数成员。总部位于美国北卡罗来纳州的罗利市,截止2015年3月3日,共有80多个分公司。红帽公司为诸多重要 IT 技术如操作系统、存储、中间件、虚拟化和云计算提供关键任务的软件与服务。红帽的开放源码模式提供跨物理、虚拟和云端环境的企业运算解决方案,以帮助企业降低成本并提升效能、稳定性与安全性。红帽公司同时也为全球客户或通过领先合作伙伴为客户提供技术支持、培训和咨询服务。
         攻击者可利用在 "xmlns[:prefix]" 属性值中传递一个或多个命名空间分隔符,通过将 expat 格式错误的标记名称发送到 expat 之上的 XML 处理器,从而导致任意代码执行。
二、风险等级:
           高危
三、影响范围:
          Red Hat Enterprise Linux for x86_64 -Extended Update Support 8.4 x86_64
          Red Hat Enterprise Linux Server - AUS 8.4x86_64
          Red Hat Enterprise Linux for IBM z Systems- Extended Update Support 8.4 s390x
          Red Hat Enterprise Linux for Power littleendian - Extended Update Support 8.4 ppc64le
          Red Hat Enterprise Linux Server - TUS 8.4x86_64
          Red Hat Enterprise Linux for ARM 64 -Extended Update Support 8.4 aarch64
          Red Hat Enterprise Linux Server (for IBMPower LE) - Update Services for SAP Solutions 8.4 ppc64le
          Red Hat Enterprise Linux Server - UpdateServices for SAP Solutions 8.4 x86_64
四、修复建议:
        目前官方已发布更新补丁,请受影响用户及时安装更新补丁,官方链接:
        https://access.redhat.com/errata/RHSA-2022:1012

3 Sophos UTM SQL注入漏洞(CVE-2022-0386)
一、漏洞描述:     
         
         Sophos UTM是一款下一代防火墙。
         Sophos UTM存在安全漏洞,该漏洞源于邮件管理器中的身份验证后 SQL 注入漏洞可能允许经过身份验证的攻击者在版本 9.710 之前的 Sophos UTM 中执行代码。
二、风险等级:
           高危
三、影响范围:
          Sophos UTM < 9.710
四、修复建议:
        目前官方已发布更新补丁,请受影响用户及时安装更新补丁,官方链接:
        https://www.sophos.com/en-us/sec ... a-20220321-utm-9710

4 Microweber跨站脚本漏洞(CVE-2022-0930)
一、漏洞描述:     
       
         Microweber是美国 Microweber 社区的一套可提供拖拽功能的网上商店管理系统。该系统包括添加商品、图片等模块。
         Microweber 1.2.12 之前存在安全漏洞。攻击者可以上传带有跨站脚本攻击载荷的 .[az]html 文件(例如 ahtml、bhtml、chtml、ddhtml,只要它以 html 结尾)。上传后,可以访问带有恶意 html 的 URL 并执行 javascript。
二、风险等级:
           中危
三、影响范围:
          Microweber < 1.2.12
四、修复建议:
        目前官方已发布更新补丁,请受影响用户及时安装更新补丁,官方链接:
        https://github.com/microweber/microweber
回复

举报

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 注册创意安天

本版积分规则

小黑屋|手机版|Archiver|创意安天 ( 京ICP备09068574,ICP证100468号。 )

GMT+8, 2024-5-19 17:30

Powered by Discuz! X3.4

© 2001-2023 Discuz! Team.

快速回复 返回顶部 返回列表