雷神众测漏洞周报2023.1.3-2023.1.8

2023-01-11 14:03:47 来源:程序员客栈

以下内容,均摘自于互联网,由于传播,利用此文所提供的信息而造成的任何直接或间接的后果和损失,均由使用者本人负责,雷神众测以及文章作者不承担任何责任。雷神众测拥有该文章的修改和解释权。如欲转载或传播此文章,必须保证此文章的副本,包括版权声明等全部内容。声明雷神众测允许,不得任意修改或增减此文章内容,不得以任何方式将其用于商业目的。

目录

1.Synology VPN Plus Server越界写入漏洞2.Fortinet多个漏洞3.Apache Kylin命令注入漏洞4.IBM DB2跨站请求伪造漏洞


【资料图】

漏洞详情

1.Synology VPN Plus Server越界写入漏洞

漏洞介绍:

Synology(群晖科技)是全球知名的网络存储解决方案提供商。VPN Plus Server可将Synology Router变成VPN服务器,允许通过Web浏览器或客户端进行安全的VPN访问。

漏洞危害:

在1.4.3-0534和1.4.4-0635版本之前的Synology VPN Plus Server远程桌面功能存在越界写入漏洞,远程攻击者能够利用该漏洞在无需交互的情况下在目标主机执行任意命令或代码。

漏洞编号:

CVE-2022-43931

影响范围:

Synology VPN Plus Server for SRM 1.2 < 1.4.3-0534Synology VPN Plus Server for SRM 1.3 < 1.4.4-0635

修复方案:

及时测试并升级到最新版本或升级版本

来源:安恒信息CERT

2.Fortinet多个漏洞

漏洞介绍:

Fortinet FortiADC是一款应用交付控制器,可优化应用的性能和可用性,同时通过自身的原生安全工具和将应用交付集成到Fortinet Security Fabric安全架构中来保障应用的安全。

漏洞危害:

Fortinet FortiADC命令注入漏洞(CVE-2022-39947):Fortinet FortiADC web界面存在命令注入漏洞,经过身份验证的远程攻击者可以访问Web GUI以通过特制的HTTP请求执行未经授权的代码或命令。

Fortinet FortiTester命令注入漏洞(CVE-2022-35845):FortiTester GUI和API存在命令注入漏洞,经过身份验证的攻击者可以利用该漏洞在shell中执行任意命令

影响范围:

Fortinet FortiADC命令注入漏洞(CVE-2022-39947)

受影响版本:7.0.0 ≤ FortiADC ≤ 7.0.26.2.0 ≤ FortiADC ≤ 6.2.36.1.0 ≤ FortiADC ≤ 6.1.66.0.0 ≤ FortiADC ≤ 6.0.45.4.0 ≤ FortiADC ≤ 5.4.5

Fortinet FortiTester命令注入漏洞(CVE-2022-35845)受影响版本:FortiTester 7.1.0FortiTester 7.0.x4.0.0 ≤ FortiTester ≤ 4.2.02.3.0 ≤ FortiTester ≤ 3.9.1

修复建议:

及时测试并升级到最新版本或升级版本。

来源:安恒信息CERT

3.Apache Kylin命令注入漏洞

漏洞介绍:

Apache Kylin™是一个开源的分布式分析引擎,提供Hadoop之上的SQL查询接口及多维分析(OLAP)能力以支持超大规模数据,最初由eBay Inc. 开发并贡献至开源社区。它能在亚秒内查询巨大的Hive表。

漏洞危害:

CVE-2022-43396: 命令注入漏洞该漏洞存在于Apache Kylin中,是一个命令注入漏洞。原因在 CVE-2022-24697 的修复中的黑名单并不完善,攻击者通过绕过该黑名单中的限制内容即可发起攻击。该漏洞允许攻击者通过kylin.engine.spark-cmd参数来执行恶意命令并接管服务器。

CVE-2022-44621: 命令注入漏洞该漏洞存在于Apache Kylin中,是一个命令注入漏洞。由于系统Controller未验证参数,攻击者可以通过HTTP Request 进行命令注入攻击。

影响范围:

Apache Kylin 2.x,3.x,4.x < 4.0.3

修复方案:

及时测试并升级到最新版本或升级版本。

来源:360CERT

4.IBM DB2跨站请求伪造漏洞

漏洞介绍:

IBM DB2是美国国际商业机器(IBM)公司的一套关系型数据库管理系统。该系统的执行环境主要有UNIX、Linux、IBMi、z/OS以及Windows服务器版本。

漏洞危害:

IBM DB2存在跨站请求伪造漏洞,攻击者可利用该漏洞执行从网站信任的用户传输的恶意和未经授权的操作。

漏洞编号:

CVE-2022-41296

影响范围:

IBM Db2 Warehouse on Cloud Pak for Data 3.5IBM Db2 Warehouse on Cloud Pak for Data 4.0IBM Db2 on Cloud Pak for Data 3.5IBM Db2 on Cloud Pak for Data 4.0IBM Db2 on Cloud Pak for Data 4.5IBM Db2 Warehouse on Cloud Pak for Data 4.5

修复方案:

及时测试并升级到最新版本或升级版本。

来源:CNVD

专注渗透测试技术

全球最新网络攻击技术

END

标签: 影响范围 修复方案

雷神众测漏洞周报2023.1.3-2023.1.8

以下内容,均摘自于互联网,由于传播,利用此文所提供的信息而造成的任何直接或间接的后果和损失,均由...

2023-01-11 14:03:47

贵州开启“两会时间” 省政协委员陆续报到_天天速读

贵州省政协十三届一次会议开幕在即,1月10日,省政协委员陆续抵达各驻地酒店报到。省政协委员陆续登记报...

2023-01-11 09:23:23

喝酒伤身戒酒的句子(精选389句)

喝酒伤身戒酒的句子精选65句1 今决心戒之,诸公若见怜,可助余脱离苦海为盼。立此为鉴,以儆同类!2 ...

2023-01-11 00:24:37

全球快消息!韩国对华歧视性入境限制,对等措施来了

1月10日,中国驻韩国大使馆发布关于暂停签发韩国公民赴华短期签证的通知。通知称,根据国内指示,自即日...

2023-01-10 19:04:53

【时快讯】冠昊生物:目前ZY公司的研发项目处于临床前研究阶段

同花顺(300033)金融研究中心1月10日讯,有投资者向冠昊生物(300238)提问,收购美国ZY公司已经三年时...

2023-01-10 15:55:24

【当前热闻】我爱我家董秘回复:截止2022年12月30日,公司股东总户数为39,829户

我爱我家(000560)01月09日在投资者关系平台上答复了投资者关心的问题。

2023-01-10 13:51:28

危险方法危害公共安全罪怎么界定

以危险方法危害公共安全罪是一个概括性罪名,是故意以放火、决水、爆炸以及投放危险物质以外的并与之相...

2023-01-10 13:07:05

当前信息:还呗贷款逾期14年多久会上征信

网贷逾期一般会上征信,有些借贷机构在用户逾期后一天后就会上报给征信机构,而有些借贷机构则是会在几天...

2023-01-10 12:45:21

尊享贷网贷逾期22年还不起会影响征信吗_每日热文

网贷逾期一般会上征信,有些借贷机构在用户逾期后一天后就会上报给征信机构,而有些借贷机构则是会在几天...

2023-01-10 12:44:56

放心借借款逾期29年还不起影响征信吗

网贷逾期一般会上征信,有些借贷机构在用户逾期后一天后就会上报给征信机构,而有些借贷机构则是会在几天...

2023-01-10 12:20:29
x 广告
x 广告

Copyright ©  2015-2022 人人经营网版权所有  备案号:粤ICP备18023326号-36   联系邮箱:8557298@qq.com