免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表安天实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与安天实验室一律不予承担。
1 Zyxel身份验证绕过漏洞(CVE-2022-0342)
一、漏洞描述:
Zyxel通信公司(中文:合勤科技)是一家网络设备制造商。Zyxel与全球网络设备供应商、电信公司、ISP和其他中小型企业合作。除了作为ISP和系统集成商的OEM,该公司还直接向企业和消费者销售Zyxel品牌的产品。合勤科技正在不断扩展网络接入产品和服务的范围,同时正在为许多领域建立新的应用。多年来合勤科技持续投入通讯网路设备的研发,不断推出领先趋势的产品,为客户与合作伙伴提供更迅速、更有效率的服务。
该漏洞在部分防火墙版本的CGI程序中发现了一个因缺乏合理控制的访问机制,从而导致身份验证绕过漏洞。该漏洞可能允许攻击者绕过身份验证并获得设备的管理访问权限。
二、风险等级:
高危
三、影响范围:
USG/ZyWALL < ZLD V4.71
Zyxel USG FLEX < ZLD V5.21 Patch 1
Zyxel ATP < ZLD V5.21 Patch 1
Zyxel VPN < ZLD V5.21
Zyxel NSG < V1.33p4_WK11*
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://www.zyxel.com/support/Zy ... -of-firewalls.shtml
2 Rapid7 Nexpose SQL注入漏洞(CVE-2022-0757)
一、漏洞描述:
Rapid7 Nexpose是美国Rapid7公司的一套能够利用扫描结果深度探测网络的漏洞管理软件。该软件支持扫描配置环境的错误、漏洞、恶意软件等。
该漏洞允许攻击者操纵SearchCriteria中的“ANY”和“OR”运算符,并注入SQL代码。
二、风险等级:
高危
三、影响范围:
Rapid7 Nexpose < 6.6.93
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,用户请尽快更新至安全版本。补丁获取链接:
https://docs.rapid7.com/release-notes/nexpose/20220302/
3 Apple越界写入漏洞(CVE-2022-22675)
一、漏洞描述:
Apple iOS和Apple iPadOS都是美国苹果(Apple)公司的产品。Apple iOS是一套为移动设备所开发的操作系统。Apple iPadOS是一套用于iPad平板电脑的操作系统。
该漏洞允许攻击者运行特制程序来触发越界写入并使用内核权限执行任意代码。
二、风险等级:
高危
三、影响范围:
iOS & iPadOS < 15.4.1
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,用户请尽快更新至安全版本。补丁获取链接:
https://support.apple.com/en-us/HT213219
4 Rockwell Automation Logix Controllers代码注入漏洞(CVE-2022-1161)
一、漏洞描述:
Rockwell Automation Logix Controllers是美国Rockwell Automation公司的一个高性能控制平台。使用这个单一平台以任意组合执行顺序、过程、驱动或运动控制。
该漏洞源于更改了某些ControlLogix、CompactLogix、GuardLogix Control systems上的用户程序代码。Studio 5000 Logix Designer将用户可读的程序代码写入执行的编译代码之外的单独位置。
二、风险等级:
高危
三、影响范围:
Rockwell Automation Studio 5000 Logix Designer
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,详情请关注厂商主页:
https://www.rockwellautomation.com/ |
发表于 2022-4-3 08:19