找回密码
 注册创意安天

漏洞风险提示(20220516)

[复制链接]
发表于 2022-5-16 09:50 | 显示全部楼层 |阅读模式
免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表安天实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与安天实验室一律不予承担。


1 Zyxel远程命令执行漏洞(CVE-2022-30525)
一、漏洞描述:     
        1.png
        Zyxel USG FLEX 是中国 Zyxel 公司的一款防火墙,可以提供灵活的 VPN 选项,为远程工作和管理提供灵活的安全远程访问。
        该漏洞是由于特定路径处理 json 格式的传入数据时存在错误,攻击者可利用该漏洞在未授权的情况下,构造恶意数据执行系统命令注入攻击,最终执行任意代码。

二、风险等级:
           高危
三、影响范围:
        5.00 ≤ Zyxel ≤ 5.21
四、修复建议:
        当前官方已发布最新版本,建议受影响的用户及时更新升级到最新版本。链接如下:
        https://www.zyxel.com/support/Zy ... -of-firewalls.shtml



2 Laravel远程代码执行漏洞(CVE-2021-43503)
一、漏洞描述:     
        2.png
        Laravel 是一套 Web 应用开发框架,它具有富于表达性且简洁的语法,可以提供验证(authentication)、路由(routing)、session 和缓存(caching)等开发过程中经常用到的工具或功能。
        该漏洞是由于 Laravel 5.8.38 版本以下的 PendingResourceRegistration.php 页面存在反序列化漏洞,攻击者可利用该漏洞在未授权情况下,构造恶意数据进行远程代码执行攻击,最终获取服务器最高权限等操作。

二、风险等级:
           高危
三、影响范围:
        Laravel  ≤  5.8.38
四、修复建议:
        当前官方已发布最新版本,建议受影响的用户及时更新升级到最新版本。链接如下:
        https://github.com/laravel/laravel



3 Netatalk远程命令执行漏洞(CVE-2022-23121)
一、漏洞描述:     
        3.png
        Netatalk 是 Apple Filing Protocol (AFP) 的开源实现,它为 Unix 风格系统提供了与 Macintosh 文件共享的功能。
        该漏洞是由于 parse_entries 函数的异常处理存在逻辑错误,攻击者可利用该漏洞在未授权的情况下,构造恶意数据执行缓冲区溢出攻击,最终执行任意代码。

二、风险等级:
           高危
三、影响范围:
        Netatalk < 3.1.13
四、修复建议:
        当前官方已发布最新版本,建议受影响的用户及时更新升级到最新版本。链接如下:
        https://netatalk.sourceforge.io/3.1/ReleaseNotes3.1.13.html



4 Openssl远程代码执行漏洞(CVE-2022-1292)
一、漏洞描述:     
        openssl.png
        OpenSSL是一个开放源代码的软件库包。应用程序可以使用这个包来进行安全通信、避免窃听,同时确认另一端连接者的身份,广泛被应用在互联网的网页服务器上。
        该漏洞源于c_rehash 脚本未正确清理 shell 元字符导致命令注入,攻击者可利用该漏洞在未授权的情况下,构造恶意数据执行系统命令注入攻击,最终造成远程代码执行。

二、风险等级:
           中危
三、影响范围:
        1.0.2 < Openssl < 1.0.2ze
        1.1.1 < Openssl < 1.1.1o
        3.0 < Openssl < 3.0.3

四、修复建议:
        当前官方已发布最新版本,建议受影响的用户及时更新升级到最新版本。链接如下:
        https://github.com/openssl/openssl/tags
您需要登录后才可以回帖 登录 | 注册创意安天

本版积分规则

Archiver|手机版|小黑屋|创意安天 ( 京ICP备09068574,ICP证100468号。 )

GMT+8, 2024-12-27 21:25

Powered by Discuz! X3.5

© 2001-2024 Discuz! Team.

快速回复 返回顶部 返回列表