漏洞风险提示（20221020）

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1Apache Airflow代码问题漏洞（CVE-2022-41672）
一、漏洞描述：     
       
       
        Apache Airflow是美国阿帕奇（Apache）基金会的一套用于创建、管理和监控工作流程的开源平台。该平台具有可扩展和动态监控等特点。
        Apache Airflow 2.4.1及之前版本存在代码问题漏洞，该漏洞源于停用用户未能阻止已通过身份验证的用户继续使用UI或API。目前没有详细漏洞细节提供。

二、风险等级：
           高危
三、影响范围：
        Apache Apache Airflow <=2.4.1
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://lists.apache.org/thread/ohf3pvd3dftb8zb01yngbn1jtkq5m08y

---

2Wedding Planner select.php SQL注入漏洞（CVE-2022-40404）
一、漏洞描述：     
       
        Wedding Planner是一个婚礼策划师项目。旨在为用户提供一种简单的方法，让他们在使用真实数据的同时通过 Web 应用程序来计划他们的婚礼。
        Wedding Planner v1.0版本存在 SQL注入漏洞，该漏洞源于/admin/select.php中的id参数缺少对外部输入SQL语句的验证。攻击者可利用该漏洞执行非法SQL命令窃取数据库敏感数据。
二、风险等级：
          高危
三、影响范围：
        Wedding Planner Wedding Planner 1.0
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://www.sourcecodester.com/p ... -free-download.html

---

3Rocket.Chat SQL注入漏洞（CVE-2022-32211）
一、漏洞描述：     
       
       
        Rocket.Chat是一套开源的团队聊天软件。
        Rocket.Chat 存在SQL注入漏洞，该漏洞源于应用缺少对外部输入SQL语句的验证。攻击者可利用该漏洞通过2fa secret或2fa secret检索重置密码令牌。
二、风险等级：
          高危
三、影响范围：
        Rocket.Chat Rocket.Chat >=4.7.0，<4.7.3
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://www.rocket.chat/

---

4Apache Commons Text 任意代码执行漏洞(CVE-2022-42889)
一、漏洞描述：     
       
        Apache Commons Text 是一款开源的Java库，用于处理字符串。GitHub 安全实验室的研究员 Alvaro Munoz 在3月份发现该库受一个任意代码执行漏洞影响，该漏洞和不受信任的数据处理和变量篡改有关。
        Apache Commons Text版本1.5到1.9中，由于不安全的插值默认值，当输入的参数不受信任时，可能导致远程代码执行。
二、风险等级：
           高危
三、影响范围：
        1.5 <= Apache Commons Text 版本<= 1.9
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://commons.apache.org/proper/commons-text/download_text.cgi