设为首页

 找回密码
 注册创意安天
创意安天»论坛 社区服务 傲气安天 安全预警 漏洞风险提示(20220410)
返回列表 发新帖

漏洞风险提示(20220410)

[复制链接]
发表于 2022-4-10 09:42 | 显示全部楼层 |阅读模式
免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表安天实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与安天实验室一律不予承担。

1 VMware服务端模板注入漏洞(CVE-2022-22954)
一、漏洞描述:     
        vmware.jpg
        VMware(威睿) 是一家提供全球桌面到数据中心虚拟化解决方案的厂商。VMware Workspace ONE Access 是 VMware 公司开发的一款智能驱动型数字化工作空间平台,通过 Workspace ONE Access 能够随时随地在任意设备上轻松、安全地交付和管理任意应用。VMware vRealize Automation 是自动化部署方案云管平台。VMware Cloud Foundation 是 VMware 公司混合云平台。vRealize Suite Lifecycle Manager 是 vRealize Suite 生命周期和内容管理平台。
        该漏洞为严重等级漏洞,远程攻击者利用该漏洞发送特制的 HTTP 请求,并执行服务器端模板注入从而导致远程代码执行。
二、风险等级:
           高危
三、影响范围:
        VMware Workspace ONE Access (Access)
        VMware Identity Manager (vIDM)
        VMware vRealize Automation (vRA)
        VMware Cloud Foundation
        vRealize Suite Lifecycle Manager
四、修复建议:
        当前官方已发布最新版本,建议受影响的用户及时更新升级到最新版本。 链接如下:
        https://kb.vmware.com/s/article/88099

2 GitLab硬编码漏洞(CVE-2022-1162)
一、漏洞描述:     
        gitlab.png
        GitLab 是美国 GitLab 公司的一款使用 Ruby on Rails 开发的、自托管的、Git(版本控制系统)项目仓库应用程序。该程序可用于查阅项目的文件内容、提交历史、Bug列表等。
        该漏洞源于 GitLab 存在密码硬编码,攻击者可利用该漏洞在未授权的情况下,构造恶意数据执行硬编码密码登录攻击,最终登陆并接管账户。
二、风险等级:
           高危
三、影响范围:
        14.7 ≤ GitLab CE/EE < 14.7.7
        14.8 ≤ GitLab CE/EE < 14.8.5
        14.9 ≤ GitLab CE/EE < 14.9.2
四、修复建议:
        当前官方已发布最新版本,建议受影响的用户及时更新升级到最新版本。 链接如下:
        https://packages.gitlab.com/gitlab/

3 Cisco Webex Meetings反序列化漏洞(CVE-2022-20763)
一、漏洞描述:     
        cisco.jpg
        Cisco Webex Meetings是美国思科(Cisco)公司的一款功能齐全的视频会议软件,Cisco Webex Meetings能够让用户快速且轻松地开始和加入会议,软件能够让用户加入并出席任何会议、活动或培训课程,软件还可以自定义的视频布局。
        Cisco Webex Meetings存在安全漏洞,该漏洞源于登录请求中的Java代码反序列化不当造成的。远程攻击者利用该漏洞注入任意Java代码。
二、风险等级:
           高危
三、影响范围:
        此漏洞会影响基于云的 Cisco Webex Meetings
四、修复建议:
        当前官方已发布最新版本,建议受影响的用户及时更新升级到最新版本。 链接如下:
        https://tools.cisco.com/security ... webex-java-MVX6crH9

4 Mitmproxy HTTP请求走私漏洞(CVE-2022-24766)
一、漏洞描述:     
        19.png
        Mitmproxy是一个交互式的、支持 SSL/TLS 的拦截代理,带有 HTTP/1、HTTP/2 和 WebSockets 的控制台界面。
        在Mitmproxy 7.0.4及之前的版本中,由于对HTTP请求走私的保护不足,恶意客户端或服务器能够通过Mitmproxy执行HTTP请求走私攻击。这意味着恶意客户端/服务器可以通过Mitmproxy将请求/响应作为另一个请求/响应的HTTP消息体的一部分走私。虽然Mitmproxy只会看到一个请求,但目标服务器会看到多个请求。走私的请求仍会作为另一个请求正文的一部分被捕获,但它不会出现在请求列表中,也不会通过通常的Mitmproxy事件挂钩,用户可能已经实施了自定义访问控制检查或输入清理。
二、风险等级:
           高危
三、影响范围:
        Mitmproxy <= 7.0.4
四、修复建议:
        当前官方已发布最新版本,建议受影响的用户及时更新升级到最新版本。 链接如下:
        https://github.com/mitmproxy/mitmproxy/releases/tag/v8.0.0
回复

使用道具 举报

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 注册创意安天

本版积分规则

Archiver|手机版|小黑屋|创意安天 ( 京ICP备09068574,ICP证100468号。 )

GMT+8, 2024-12-27 21:02

Powered by Discuz! X3.5

© 2001-2024 Discuz! Team.

快速回复 返回顶部 返回列表