漏洞风险提示（20221107）

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1JetBrains TeamCity 日志信息泄露漏洞（CVE-2022-44624）
一、漏洞描述：     
       
       
        JetBrains TeamCity是捷克JetBrains公司的一套分布式构建管理和持续集成工具。该工具提供持续单元测试、代码质量分析和构建问题分析报告等功能。
        JetBrains TeamCity 2021.2 到 2022.10版本存在日志信息泄露漏洞，该漏洞源于密码参数包含特殊字符，可能会在构建日志中暴露。

二、风险等级：
           高危
三、影响范围：
        JetBrains TeamCity 2021.2 到 2022.10版本
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://www.jetbrains.com/privacy-security/issues-fixed/

---

2GLPI SQL注入漏洞（CVE-2022-39323）
一、漏洞描述：     
       
        GLPI是个人开发者的一款开源IT和资产管理软件。该软件提供功能全面的IT资源管理接口，你可以用它来建立数据库全面管理IT的电脑，显示器，服务器，打印机，网络设备，电话，甚至硒鼓和墨盒等。
        GLPI 10.0.4之前版本存在SQL注入漏洞，该漏洞源于可以在api REST user_token中使用SQL注入进行基于时间的攻击。
二、风险等级：
          高危
三、影响范围：
        GLPI 10.0.4之前版本
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://github.com/glpi-project/ ... GHSA-cp6q-9p4x-8hr9

---

3MKCMS SQL注入漏洞（CVE-2020-22818）
一、漏洞描述：     
       
       
        MKCMS是一套内容管理系统。
        MKCMS V6.2版本存在SQL注入漏洞，该漏洞源于其/ucenter/reg.php组件的name参数允许攻击者实现SQL注入。
二、风险等级：
          高危
三、影响范围：
        MKCMS V6.2版本
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://sourceforge.net/projects/milan-cms/

---

4OpenHarmony 授权问题漏洞(CVE-2022-43451)
一、漏洞描述：     
       
        OpenHarmony是中国开放原子开源基金会（OpenAtom Foundation）基金会的一种鸿蒙操作系统的开源项目。
        OpenHarmony-v3.1.2 及之前版本存在授权问题漏洞，该漏洞源于apppawn 和 nwebspawn 服务中存在多路径遍历，攻击者利用该漏洞可以创建任意目录或逃脱应用程序沙箱，如果与其他漏洞链接，它将允许非特权进程获得完全 root 权限。
二、风险等级：
           高危
三、影响范围：
        OpenHarmony-v3.1.2 及之前版本
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://gitee.com/openharmony/se ... ure/2022/2022-11.md