免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表安天实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与安天实验室一律不予承担。
1 Cisco Wireless LAN Controller 身份认证绕过漏洞(CVE-2022-20695)
一、漏洞描述:
Cisco Wireless LAN Controller(WLC)是美国思科(Cisco)公司的一款无线局域网控制器产品。该产品在无线局域网中提供安全策略、入侵检测等功能。
Cisco Wireless LAN Controller 管理接口存在安全漏洞,该漏洞源于密码执行不当。攻击者可以通过使用精心制作的凭据登录受影响的设备来利用此漏洞。 成功的利用可能允许攻击者绕过身份验证并以管理员身份登录设备。 攻击者可以获得与管理用户相同级别的权限,但这取决于精心制作的凭据。以下产品和版本受到影响:3504 无线控制器、5520 无线控制器、8540 无线控制器、Mobility Express和虚拟无线控制器 (vWLC)。
二、风险等级:
高危
三、影响范围:
3504 Wireless Controller
5520 Wireless Controller
8540 Wireless Controller
Mobility Express
Virtual Wireless Controller (vWLC)
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,详情请关注厂商主页:
https://tools.cisco.com/security ... uth-bypass-JRNhV4fF
2 Google ChromeV8 类型混淆漏洞(CVE-2022-1364)
一、漏洞描述:
Google Chrome是由 Google 开发的免费网页浏览器。Chrome 代码是基于其他开放源代码软件所编写,包括 Apple WebKit 和 Mozilla Firefox,并开发出称为 “V8” 的高性能 JavaScript 引擎。
该漏洞为 Chrome V8 JavaScript 引擎中的类型混淆漏洞,此类漏洞通常会在成功读取或写入超出缓冲区边界的内存后导致浏览器崩溃或执行任意代码。
二、风险等级:
高危
三、影响范围:
Google Chrome < 100.0.4896.127
四、修复建议:
目前此漏洞已在 Chrome 版本 100.0.4896.127 中修复,Chrome 用户可以通过手动检查新更新(Chrome 菜单 > 帮助 > 关于Google Chrome)并重启浏览器。下载链接:
https://www.google.cn/chrome/
3 VMware Cloud Director 远程代码执行漏洞(CVE-2022-22966)
一、漏洞描述:
VMware Cloud Director 是一个领先的云服务交付平台,云服务提供商使用该平台来运维和管理云上业务,VMware Cloud Director 具有多租户资源池化、多站点管理、运维可见性和洞察信息、自动化等功能特性。
VMware Cloud Director 中存在一个远程代码执行漏洞,经过身份验证且具备高权限的恶意攻击者可利用该漏洞执行任意代码,从而获取服务器权限。
二、风险等级:
高危
三、影响范围:
VMware Cloud Director 10.1.x, 10.2.x, 10.3.x
四、修复建议:
目前官方已发布更新补丁,请受影响用户及时安装更新补丁,官方链接:
https://kb.vmware.com/s/article/88176
4 Apache Superset SQL 注入漏洞(CVE-2022-27479)
一、漏洞描述:
Apache Superset 是一个开源的数据探索和可视化平台,提供了快速创建数据可视化互动仪表盘、丰富的可视化图表模板、细粒度高可扩展性的安全访问模型等强大功能,可以轻松对数据进行可视化分析。
Apache Superset 1.4.2 之前存在 SQL 注入漏洞,攻击者可通过图表数据请求进行攻击。
二、风险等级:
高危
三、影响范围:
Apache Superset < 1.4.2
四、修复建议:
目前此漏洞已经修复,受影响用户可以升级更新到 Apache Superset 1.4.2 或更高版本。下载链接:
https://github.com/apache/superset/tags |
发表于 2022-4-16 07:42