漏洞风险提示（20221008)

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1Discourse 远程代码执行漏洞（CVE-2022-36066）
一、漏洞描述：     
       
       
        Discourse是一套开源的社区讨论平台。该平台包括社区、电子邮件和聊天室等功能。
        Discourse 2.8.9.stable之前前版本和2.9.0.beta10之前版本存在代码问题漏洞，该漏洞源于管理员可以上传恶意制作的Zip或Gzip Tar存档，在任意位置写入文件并触发远程代码执行。

二、风险等级：
           高危
三、影响范围：
        Discourse 2.8.9.stable之前
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://github.com/discourse/dis ... adfda7554b67b493835

---

2Flatpress 远程代码执行 (RCE) 漏洞（CVE-2022-40048）
一、漏洞描述：     
       
        FlatPress是FlatPress社区的一个基于Php无需数据库支持的博客建站系统。
        Flatpress v1.2.1之前版本存在代码问题漏洞，该漏洞源于在上传文件功能中包含远程代码执行 (RCE) 漏洞。
二、风险等级：
          高危
三、影响范围：
        Flatpress v1.2.1之前
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://github.com/flatpressblog/flatpress/

---

3Zyxel CloudCNM SecuManager 身份验证漏洞（ CVE-2020-15327）
一、漏洞描述：     
       
       
        Zyxel ZyXEL CloudCNM SecuManager是中国台湾合勤（Zyxel）公司的一套网络管理软件。该软件支持集中控制、设备管理和智能监控等功能。
        Zyxel CloudCNM SecuManager 3.1.0版本和3.1.1版本存在信任管理问题漏洞，该漏洞源于使用无身份验证的ZODB存储。
二、风险等级：
          高危
三、影响范围：
        Zyxel CloudCNM SecuManager 3.1.0版本和3.1.1版本
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://www.zyxel.com/support/vu ... M-SecuManager.shtml

---

4Zyxel CloudCNM SecuManager 硬编码漏洞（ CVE-2020-15331）
一、漏洞描述：     
       
        Zyxel CloudCNM SecuManager是中国台湾合勤（Zyxel）公司的一套网络管理软件。该软件支持集中控制、设备管理和智能监控等功能。
        Zyxel CloudCNM SecuManager 3.1.0版本和3.1.1版本存在安全漏洞，该漏洞源于在/opt/axess/etc/default/axess中有一个硬编码的OAUTH_SECRET_KEY。
二、风险等级：
           高危
三、影响范围：
        Zyxel CloudCNM SecuManager 3.1.0版本和3.1.1版本
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://www.zyxel.com/support/vu ... M-SecuManager.shtml