漏洞风险提示（20221014)

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1Apache Shiro身份验证绕过漏洞（CVE-2022-40664）
一、漏洞描述：     
       
       
        Apache Shiro是一个Java安全框架，它具有身份验证、访问授权、数据加密、会话管理等功能。
        Apache Shiro存在身份验证绕过漏洞，该漏洞是由于当通过RequestDispatcher接口进行请求转发或请求包含时导致的，目前没有详细的漏洞细节提供。

二、风险等级：
           高危
三、影响范围：
        Apache Shiro < 1.10.0
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://shiro.apache.org/download.html

---

2OpenSSL存在拒绝服务漏洞（CVE-2022-0778）
一、漏洞描述：     
       
        OpenSSL是一个开源的能够实现安全套接层（SSLv2/v3）和安全传输层（TLSv1）协议的通用加密库。该产品支持多种加密算法，包括对称密码、哈希算法、安全散列算法等。
        OpenSSL存在拒绝服务漏洞，该漏洞源于计算模平方根的BN_mod_sqrt() 函数存在错误，可能导致对于非素数模数无线循环。攻击者可以发送特殊的函数参数值利用该漏洞导致应用在解析证书的过程中触发拒绝服务。
二、风险等级：
          高危
三、影响范围：
        OpenSSL OpenSSL <1.1.1d.9-1
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://www.openssl.org/news/secadv/20220315.txt

---

3ARRIS TR3300命令注入漏洞（CVE-2022-27001）
一、漏洞描述：     
       
       
        ARRIS TR3300是美国ARRIS公司的一款802.11ac Wi-Fi路由器。
        ARRIS TR3300存在命令注入漏洞，该漏洞源于dhcp函数中的hostname参数未能正确过滤构造命令特殊字符、命令等。攻击者可利用此漏洞导致任意命令执行。
二、风险等级：
          高危
三、影响范围：
        ARRIS TR3300 v1.0.13
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://github.com/wudipjq/my_vuln/blob/main/ARRIS/vuln_7/7.md

---

4畅捷通T+专属云存在命令执行漏洞
一、漏洞描述：     
       
        畅捷通T+专属云是一款集做生意、管生意、看经营全场景的云ERP系统。
        畅捷通T+专属云存在命令执行漏洞，攻击者可利用该漏洞执行任意命令。
二、风险等级：
           高危
三、影响范围：
        畅捷通信息技术股份有限公司 畅捷通T+专属云 <=17.0
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://www.chanjet.com/