漏洞风险提示（20221019)

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 Apache IoTDB访问控制错误漏洞（CVE-2022-38370）
一、漏洞描述：     
       
       
        Apache IoTDB是美国阿帕奇（Apache）基金会的一款为时间序列数据设计的集成数据管理引擎，它能够提供数据收集、存储和分析服务等。
        Apache IoTDB 0.13.0版本存在访问控制错误漏洞，该漏洞源于包含未经授权的接口，攻击者可利用该漏洞暴露数据库的内部结构。

二、风险等级：
           高危
三、影响范围：
        Apache Apache IoTDB 0.13.0
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://lists.apache.org/thread/kcpqgstvgf8sxy9ktxm1836nlwc8xy3j

---

2 Apache IoTDB授权问题漏洞（CVE-2022-38369）
一、漏洞描述：     
       
        Apache IoTDB是美国阿帕奇（Apache）基金会的一款为时间序列数据设计的集成数据管理引擎，它能够提供数据收集、存储和分析服务等。
        Apache IoTDB 0.13.0版本存在授权问题漏洞，该漏洞源于易受session id攻击。远程攻击者可以利用该漏洞绕过身份验证过程并在特定情况下接管其他Web应用程序用户的帐户。
二、风险等级：
          高危
三、影响范围：
        Apache IoTDB 0.13.0
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://lists.apache.org/thread/7nk03ywvx3t3yjbcxzt7zy4nyc89y9b0

---

3 Linux kernel 竞争条件问题漏洞（CVE-2022-3522）
一、漏洞描述：     
       
       
        Linux kernel是美国Linux基金会的开源操作系统Linux所使用的内核。
        Linux kernel 存在竞争条件问题漏洞，该漏洞源于两个线程在输出结果时依赖事件出现的顺序或者出现时机。
二、风险等级：
          高危
三、影响范围：
        Linux kernel
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://git.kernel.org/pub/scm/l ... 0e6d86427656fa42a9b

---

4 Gin-Vue-Admin 代码问题漏洞( CVE-2022-32176)
一、漏洞描述：     
       
        Gin-Vue-Admin是一个基于 Vue 和 Gin 开发的全栈前开发基础平台。
        Gin-Vue-Admin v2.5.1版本至v2.5.3b版本存在代码问题漏洞，该漏洞源于没有限制文件上传功能。攻击者利用该漏洞可以访问管理员的cookie，从而导致帐户接管。
二、风险等级：
           高危
三、影响范围：
        Gin-Vue-Admin v2.5.1版本至v2.5.3b版本
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://www.gin-vue-admin.com/