免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表安天实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与安天实验室一律不予承担。
1蓝凌智慧协同平台SQL注入漏洞(CNVD-2022-70699)
一、漏洞描述:
深圳市蓝凌软件股份有限公司是国内知名的大平台OA服务商和国内领先的知识管理解决方案提供商,是专业从事组织的知识化咨询、软件研发、实施、技术服务的国家级高新技术企业。
深圳市蓝凌软件股份有限公司蓝凌智慧协同平台存在SQL注入漏洞,攻击者可利用该漏洞获取数据库敏感信息。
二、风险等级:
高危
三、影响范围:
深圳市蓝凌软件股份有限公司 蓝凌智慧协同平台
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
http://www.landray.com.cn/
2通达OA任意文件上传漏洞(CNVD-2022-70712)
一、漏洞描述:
通达OA是一款移动智能办公应用。
通达OA存在文件上传漏洞,攻击者可利用该漏洞获取服务器控制权。
二、风险等级:
高危
三、影响范围:
北京通达信科科技有限公司 通达OA
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://www.tongda2000.com/
3Online Project Time Management System SQL注入漏洞(CVE-2022-26293)
一、漏洞描述:
Online Project Time Management System是一个基于网络的在线项目时间管理系统,它为某个公司的员工提供了一个在线平台来报告/记录他们分配的时间或每个项目重新提交的时间。
Sourcecodester Online Project Time Management System v1.0版本存在SQL注入漏洞,该漏洞源于/ptms/classes/Users.php 中 save_employee函数中的id参数缺少对外部输入SQL语句的验证。攻击者可利用该漏洞执行非法SQL命令窃取数据库敏感数据。
二、风险等级:
高危
三、影响范围:
Online Project Time Management System Online Project Time Management System V1.0
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://www.sourcecodester.com/p ... ee-source-code.html[/url]
4OpenSSL远程代码执行漏洞(CVE-2022-3602)
一、漏洞描述:
OpenSSL是用于传输层安全 (TLS) 协议的强大、商业级、功能齐全的开源工具包,协议实现基于全强度通用密码库,用于保护计算机网络上的通信免受窃听,被互联网服务器广泛使用。
OpenSSL存在远程代码执行漏洞,攻击者可利用该漏洞制作包含恶意电子邮件地址的证书,溢出栈上四个可控字节,导致服务崩溃或潜在的远程代码执行。
二、风险等级:
高危
三、影响范围:
OpenSSL OpenSSL 3.*,<3.0.7
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://www.openssl.org/source/mirror.html |
发表于 2022-11-4 09:25
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
显身卡