找回密码
 注册创意安天

漏洞风险提示(20220610)

[复制链接]
发表于 2022-6-10 09:38 | 显示全部楼层 |阅读模式
免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表安天实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与安天实验室一律不予承担。


1 泛微 E-Office SQL注入漏洞(CNVD-2022-43246)
一、漏洞描述:     
        fanwei.png
        泛微 E-Office 本着简洁易用、高效智能的原则,为企业快速打造移动化、无纸化、数字化的办公平台,因此成为国内特别流行的办公平台之一。
        攻击者可利用该漏洞在未授权的情况下,构造恶意数据攻击,最终可造成服务器敏感性信息泄露。

二、风险等级:
           高危
三、影响范围:
        e-office v9.0 141103
四、修复建议:
        目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
        https://www.weaver.com.cn/



2 泛微 E-Office 文件包含漏洞(CNVD-2022-43247)
一、漏洞描述:     
        fanwei.png
        泛微 E-Office 本着简洁易用、高效智能的原则,为企业快速打造移动化、无纸化、数字化的办公平台,因此成为国内特别流行的办公平台之一。
        该漏洞是由于存在文件包含的危险函数可直接被利用,攻击者可利用该漏洞在未授权的情况下,构造含有恶意数据的文件,通过该漏洞对文件包含后,最终可获取服务器最高权限。

二、风险等级:
           高危
三、影响范围:
        e-office 9.5 20220113
四、修复建议:
        目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
        https://www.weaver.com.cn/



3 Adobe越界读取漏洞(CVE-2022-28243)
一、漏洞描述:     
        adobe.png
        Adobe Acrobat 是由Adobe公司开发的一款PDF(Portable Document Format,便携式文档格式)编辑软件。借助它,可以以PDF格式制作和保存你的文档 ,以便于浏览和打印,或使用更高级的功能。
        Acrobat Reader DC 版本 22.001.2011x(及更早版本)、20.005.3033x(及更早版本)和 17.012.3022x(及更早版本)在解析特制文件时受到越界读取漏洞的影响,这可能导致读取超过分配的内存结构的末尾。攻击者可以利用此漏洞在当前用户的上下文中执行代码。利用此问题需要用户交互,因为受害者必须打开恶意文件。

二、风险等级:
           中危
三、影响范围:
        Adobe Acrobat DC (Continuous) <=22.001.20085
        Adobe Acrobat Reader DC (Continuous) <=22.001.20085
        Adobe Acrobat 2020 Classic 2020(Windows & macOS) <=20.005.30314
        Adobe Acrobat Reader 2020 Classic 2020(Windows & macOS) <=20.005.30314
        Adobe Acrobat 2017 Classic 2017(Windows & macOS) <=17.012.30205
        Adobe Acrobat Reader 2017 Classic 2017(Windows & macOS) <=17.012.30205

四、修复建议:
        目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
        http://helpx.adobe.com/security/products/acrobat/apsb22-16.html



4 WordPress Donations SQL注入漏洞(CVE-2022-0782)
一、漏洞描述:     
        wordpress.jpg
        WordPress是一款个人博客系统,并逐步演化成一款内容管理系统软件,它是使用PHP语言和MySQL数据库开发的,用户可以在支持 PHP 和 MySQL数据库的服务器上使用自己的博客。
        WordPress插件Donations插件SQL注入漏洞,该漏洞源于无法正确清理和转义nd_donations_id参数,将其插入SQL语句中,通过nd_donations_single_cause_form_validate_fields_php_function AJAX操作执行,攻击者可利用漏洞导致SQL注入。

二、风险等级:
           高危
三、影响范围:
        WordPress Donations 1.8
四、修复建议:
        目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
        https://wpscan.com/vulnerability ... 1-abee-18c42bb5c2f5
您需要登录后才可以回帖 登录 | 注册创意安天

本版积分规则

Archiver|手机版|小黑屋|创意安天 ( 京ICP备09068574,ICP证100468号。 )

GMT+8, 2024-12-27 20:24

Powered by Discuz! X3.5

© 2001-2024 Discuz! Team.

快速回复 返回顶部 返回列表