漏洞风险提示（20220516）

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 Zyxel远程命令执行漏洞（CVE-2022-30525）
一、漏洞描述：     
       
        Zyxel USG FLEX 是中国 Zyxel 公司的一款防火墙，可以提供灵活的 VPN 选项，为远程工作和管理提供灵活的安全远程访问。
        该漏洞是由于特定路径处理 json 格式的传入数据时存在错误，攻击者可利用该漏洞在未授权的情况下，构造恶意数据执行系统命令注入攻击，最终执行任意代码。
二、风险等级：
           高危
三、影响范围：
        5.00 ≤ Zyxel ≤ 5.21
四、修复建议：
        当前官方已发布最新版本，建议受影响的用户及时更新升级到最新版本。链接如下：
        https://www.zyxel.com/support/Zy ... -of-firewalls.shtml

---

2 Laravel远程代码执行漏洞（CVE-2021-43503）
一、漏洞描述：     
       
        Laravel 是一套 Web 应用开发框架，它具有富于表达性且简洁的语法，可以提供验证（authentication）、路由（routing）、session 和缓存（caching）等开发过程中经常用到的工具或功能。
        该漏洞是由于 Laravel 5.8.38 版本以下的 PendingResourceRegistration.php 页面存在反序列化漏洞，攻击者可利用该漏洞在未授权情况下，构造恶意数据进行远程代码执行攻击，最终获取服务器最高权限等操作。
二、风险等级：
           高危
三、影响范围：
        Laravel  ≤  5.8.38
四、修复建议：
        当前官方已发布最新版本，建议受影响的用户及时更新升级到最新版本。链接如下：
        https://github.com/laravel/laravel

---

3 Netatalk远程命令执行漏洞（CVE-2022-23121）
一、漏洞描述：     
       
        Netatalk 是 Apple Filing Protocol (AFP) 的开源实现，它为 Unix 风格系统提供了与 Macintosh 文件共享的功能。
        该漏洞是由于 parse_entries 函数的异常处理存在逻辑错误，攻击者可利用该漏洞在未授权的情况下，构造恶意数据执行缓冲区溢出攻击，最终执行任意代码。
二、风险等级：
           高危
三、影响范围：
        Netatalk < 3.1.13
四、修复建议：
        当前官方已发布最新版本，建议受影响的用户及时更新升级到最新版本。链接如下：
        https://netatalk.sourceforge.io/3.1/ReleaseNotes3.1.13.html

---

4 Openssl远程代码执行漏洞（CVE-2022-1292）
一、漏洞描述：     
       
        OpenSSL是一个开放源代码的软件库包。应用程序可以使用这个包来进行安全通信、避免窃听，同时确认另一端连接者的身份，广泛被应用在互联网的网页服务器上。
        该漏洞源于c_rehash 脚本未正确清理 shell 元字符导致命令注入，攻击者可利用该漏洞在未授权的情况下，构造恶意数据执行系统命令注入攻击，最终造成远程代码执行。
二、风险等级：
           中危
三、影响范围：
        1.0.2 < Openssl < 1.0.2ze
        1.1.1 < Openssl < 1.1.1o
        3.0 < Openssl < 3.0.3
四、修复建议：
        当前官方已发布最新版本，建议受影响的用户及时更新升级到最新版本。链接如下：
        https://github.com/openssl/openssl/tags