免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表安天实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与安天实验室一律不予承担。
1Apache Cordova跨站脚本漏洞(CVE-2019-0219)
一、漏洞描述:
Apache Cordova是美国阿帕奇(Apache)基金会的一个应用于Android系统的相机插件。
Apache Cordova InAppBrowser 3.0.0及之前版本中存在跨站脚本漏洞。攻击者可利用该漏洞借助特制的gap-iab:URI在主要的应用程序网络视图中执行任意的JavaScript代码。
二、风险等级:
高危
三、影响范围:
Apache cordova inappbrowser <=3.0.0
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://www.apache.org/
2WordPress plugin Form Maker by 10Web SQL注入漏洞(CVE-2022-3300)
一、漏洞描述:
WordPress和WordPress plugin都是WordPress基金会的产品。WordPress是一套使用PHP语言开发的博客平台。该平台支持在PHP和MySQL的服务器上架设个人博客网站。WordPress plugin是一个应用插件。
WordPress plugin Form Maker by 10Web 1.15.6之前版本存在SQL注入漏洞,该漏洞源于在使用参数之前没有对其进行正确的清理和转义。
二、风险等级:
高危
三、影响范围:
WordPress plugin Form Maker by 10Web 1.15.6之前版本
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://wpscan.com/vulnerability ... d-bbf4-1be3b86460d9
3Haas Automation Haas Controller 访问控制错误漏洞(CVE-2022-2474)
一、漏洞描述:
Haas Automation Controller是美国Haas Automation公司的一个工业控制系统。
Haas Automation Haas Controller 100.20.000.1110版本存在访问控制错误漏洞,该漏洞源于不支持身份验证。
二、风险等级:
高危
三、影响范围:
Haas Automation Haas Controller 100.20.000.1110版本
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://www.haascnc.com/index.html
4Delta Electronics InfraSuite Device Master 未经身份验证漏洞(CVE-2022-41776)
一、漏洞描述:
Delta Electronics InfraSuite Device Master是中国台湾台达电子(Delta Electronics)公司的用于简化和自动化关键设备监控的设备。
Delta Electronics InfraSuite Device Master 00.00.01a之前版本存在安全漏洞,该漏洞源于允许未经身份验证的用户触发WriteConfiguration方法,这可能允许攻击者为UserListInfo.xml等用户配置文件提供新值,导致更改管理密码。
二、风险等级:
高危
三、影响范围:
Delta Electronics InfraSuite Device Master 00.00.01a之前版本
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://deltathailand.com/en/ |
发表于 2022-10-27 09:10