免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表安天实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与安天实验室一律不予承担。
1 Citrix ADC & Gateway拒绝服务漏洞(CVE-2022-27508)
一、漏洞描述:
Citrix Gateway是一套安全的远程接入解决方案,可提供应用级和数据级管控功能,以实现用户从任何地点远程访问应用和数据;Citrix ADC是一个全面的应用程序交付和负载平衡解决方案,用于实现应用程序安全性、整体可见性和可用性。
该漏洞源于未经身份验证的拒绝服务问题,设备可能存在不受控制的资源消耗。
二、风险等级:
高危
三、影响范围:
Citrix ADC & Citrix Gateway 12.1-64.16
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://www.citrix.com/support/
2 Zyxel & AP命令注入漏洞(CVE-2022-26532)
一、漏洞描述:
合勤科技(Zyxel Communications Corporation)是国际知名品牌的网络宽带系统及解决方案的供应商。
某些防火墙、AP 控制器和 AP 版本的“packet-trace”CLI 命令中的命令注入漏洞可能允许经过本地身份验证的攻击者通过在命令中包含精心设计的参数来执行任意操作系统命令。
二、风险等级:
高危
三、影响范围:
V4.09 <= USG/ZyWALL<= V4.71
V4.50 <= USG FLEX <= V5.21
V4.32 <= ATP <= V5.21
V4.30 <= VPN <= V5.21
V1.00 <= NSG <= V1.33 Patch 4
NXC2500 <= 6.10(AAIG.3)
NXC5500 <= 6.10(AAIG.3)
Zyxel AP <= 6.25(ABFA.7)
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://www.zyxel.com/support/mu ... llers-and-APs.shtml
3 Zyxel & AP缓冲区溢出漏洞(CVE-2022-26531)
一、漏洞描述:
合勤科技(Zyxel Communications Corporation)是国际知名品牌的网络宽带系统及解决方案的供应商。
在某些防火墙、AP 控制器和 AP 版本的某些 CLI 命令中发现了多个不正确的输入验证漏洞,这些漏洞可能允许经过本地身份验证的攻击者通过精心设计的有效负载导致缓冲区溢出或系统崩溃。
二、风险等级:
高危
三、影响范围:
V4.09 <= USG/ZyWALL<= V4.71
V4.50 <= USG FLEX <= V5.21
V4.32 <= ATP <= V5.21
V4.30 <= VPN <= V5.21
V1.00 <= NSG <= V1.33 Patch 4
NXC2500 <= 6.10(AAIG.3)
NXC5500 <= 6.10(AAIG.3)
Zyxel AP <= 6.25(ABFA.7)
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://www.zyxel.com/support/mu ... llers-and-APs.shtml
4 Spring Security RegexRequestMatcher认证绕过漏洞(CVE-2022-22978)
一、漏洞描述:
Spring Security 是一个专注于为 Java 应用程序提供身份验证和授权的框架。像所有 Spring 项目一样,Spring Security 的真正强大之处在于它可以轻松扩展以满足自定义需求。
该漏洞是由于 RegexRequestMatcher 过滤不严格,攻击者可利用该漏洞在未授权的情况下,构造恶意数据执行认证绕过攻击,最终造成配置的权限验证失效。
二、风险等级:
高危
三、影响范围:
5.5.0 <= Spring Security < 5.5.7
5.6.0 <= Spring Security < 5.6.4
Spring Security 更早的版本
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://spring.io/blog/2022/05/1 ... 2978-cve-2022-22976 |