漏洞风险提示（20221114）

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1Yapi api接口 MongoDB注入致远程命令执行漏洞
一、漏洞描述：     
       
        YApi 是高效、易用、功能强大的api 管理平台，旨在为开发、产品、测试人员提供更优雅的接口管理服务。可以帮助开发者轻松创建、发布、维护API。
        在旧版本中，Yapi前台存在注入，攻击者可利用该漏洞获取相关token，并配合沙箱绕过执行任意命令。

二、风险等级：
           高危
三、影响范围：
        Yapi
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://github.com/YMFE/yapi

---

2Google Chrome缓冲区溢出漏洞（CVE-2022-3890）
一、漏洞描述：     
       
        Google Chrome是美国谷歌（Google）公司的一款Web浏览器。
        Google Chrome存在安全漏洞，该漏洞源于在Crashpad中存在堆缓冲区溢出问题。目前没有详细的漏洞细节提供。
二、风险等级：
          高危
三、影响范围：
                Google Chrome <107.0.5304.106
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://chromereleases.googleblo ... te-for-desktop.html

---

3Google Chrome资源管理错误漏洞（CVE-2022-3888）
一、漏洞描述：     
       
        Google Chrome是美国谷歌（Google）公司的一款Web浏览器。
        Google Chrome存在安全漏洞，该漏洞源于WebCodecs存在内存释放后重用问题。目前没有详细的漏洞细节提供。
二、风险等级：
          高危
三、影响范围：
        Google Chrome <107.0.5304.106
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://chromereleases.googleblo ... te-for-desktop.html

---

4Apache Airflow授权问题漏洞（CVE-2022-38054)
一、漏洞描述：     
       
        Apache Airflow是美国阿帕奇（Apache）基金会的一套用于创建、管理和监控工作流程的开源平台。该平台具有可扩展和动态监控等特点。
        Apache Airflow 2.2.4至2.3.3版本存在安全漏洞，该漏洞源于其“database”web服务器会话后端容易被会话固定。目前没有详细的漏洞细节提供。
二、风险等级：
           高危
三、影响范围：
        Apache Airflow >=2.2.4，<=2.3.3
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://lists.apache.org/thread/rsd3h89xdp16rg0ltovx3m7q3ypkxsbb