找回密码
 注册创意安天

漏洞风险提示(20220413)

[复制链接]
发表于 2022-4-13 09:27 | 显示全部楼层 |阅读模式
免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表安天实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与安天实验室一律不予承担。


1 Easy Appointments信息泄露漏洞(CVE-2022-0482)
一、漏洞描述:     
       
        Easy Appointments是一个用 PHP 编写的开源预订管理系统。
        该漏洞是由于 API 权限检查存在缺陷,可以利用此漏洞在未经身份验证的情况下查询后端 API 并以 JSON 格式获取存储在目标系统中的私人用户数据。

二、风险等级:
           高危
三、影响范围:
        Easy Appointments < 1.4.3
四、修复建议:
        目前此漏洞已经修复,受影响用户可以选择升级更新到Easy Appointments 1.4.3或更高版本。下载链接:
        https://github.com/alextselegidis/easyappointments/releases



2 WordPress Delete Old Orders plugin跨站脚本漏洞(CVE-2022-0620)
一、漏洞描述:     
        wordpress.jpg
        WordPress是一款能让您建立出色网站、博客或应用程序的开源软件,在GNU通用公共许可证下授权发布的产品。WordPress是使用PHP语言开发的博客平台,用户可以在支持PHP和MySQL数据库的服务器上架设属于自己的网站。也可以把 WordPress当作一个内容管理系统(CMS)来使用。WordPress plugin是WordPress开源的一个应用插件。
        WordPress Delete Old Orders plugin 0.2及之前版本存在跨站脚本漏洞,该漏洞源于在将日期参数输出回管理页面之前不会对其进行清理和转义,攻击者可利用该漏洞在客户端执行JavaScript代码。

二、风险等级:
           中危
三、影响范围:
        WordPress Delete Old Orders plugin <= 0.2
四、修复建议:
        目前厂商已发布升级补丁以修复漏洞,详情请关注厂商主页:
        https://wpscan.com/vulnerability ... a-bde5-3fd1bd6982c6



3 IBM MQ Appliance拒绝服务漏洞(CVE-2022-22316)
一、漏洞描述:     
        ibm.jpg
        国际商业机器公司或万国商业机器公司,简称IBM(International Business Machines Corporation)。总公司在纽约州阿蒙克市。1911年托马斯·沃森创立于美国,是全球最大的信息技术和业务解决方案公司,该公司创立时的主要业务为商业打字机,之后转为文字处理机,然后到计算机和有关服务。IBM MQ Appliance是美国IBM公司的一款用于快速部署企业级消息中间件的一体机设备。
        该漏洞源于通过授权检查导致IBM MQ Appliance出现致命错误,从而触发拒绝服务。

二、风险等级:
           中危
三、影响范围:
        IBM mq appliance lts >= 9.2.0.0,< 9.2.0.5
        IBM mq appliance continuous_delivery >= 9.2.0.0,< 9.2.5

四、修复建议:
        目前厂商已发布升级补丁以修复漏洞,详情请关注厂商主页:
        https://www.ibm.com/products/mq/appliance



4 F5 NGINX Controller API代码注入漏洞(CVE-2022-23008)
一、漏洞描述:     
        f5.png
        F5公司总部设于美国华盛顿州西雅图市,并在北美、欧洲和亚太地区设有分公司。自2000年进入中国以来,F5公司已拥有百余家国内用户 ,广泛分布在电信,金融,政府,能源,教育,媒体和企业。
F5 NGINX控制器是美国F5公司的一个用于管理NGINIXPlus的自助服务、API驱动的平台,该平台可以轻松集成到CI/CD工作流中,以加快应用程序部署并简化应用程序生命周期管理。
        该漏洞是在 NGINX 控制器 API 管理版本 3.18.0-3.19.0 上,有权访问“用户”或“管理员”角色的经过身份验证的攻击者可以使用 NGINX 控制器 API 管理上未公开的 API 端点来注入在托管 NGINX 数据上执行的 JavaScript 代码平面实例上注入可执行的恶意JavaScript代码。

二、风险等级:
           高危
三、影响范围:
        F5 nginxcontroller api management >= 3.18.0
        F5 nginxcontroller api management < 3.19.1

四、修复建议:
        目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
        https://support.f5.com/csp/article/K40084114
您需要登录后才可以回帖 登录 | 注册创意安天

本版积分规则

Archiver|手机版|小黑屋|创意安天 ( 京ICP备09068574,ICP证100468号。 )

GMT+8, 2024-12-27 20:54

Powered by Discuz! X3.5

© 2001-2024 Discuz! Team.

快速回复 返回顶部 返回列表