雷神众测漏洞周报2023.1.3-2023.1.8
时间:2023-01-11 04:48:32 来源:程序员客栈
以下内容,均摘自于互联网,由于传播,利用此文所提供的信息而造成的任何直接或间接的后果和损失,均由使用者本人负责,雷神众测以及文章作者不承担任何责任。雷神众测拥有该文章的修改和解释权。如欲转载或传播此文章,必须保证此文章的副本,包括版权声明等全部内容。声明雷神众测允许,不得任意修改或增减此文章内容,不得以任何方式将其用于商业目的。
目录
(资料图片)
1.Synology VPN Plus Server越界写入漏洞2.Fortinet多个漏洞3.Apache Kylin命令注入漏洞4.IBM DB2跨站请求伪造漏洞
漏洞详情
1.Synology VPN Plus Server越界写入漏洞
漏洞介绍:
Synology(群晖科技)是全球知名的网络存储解决方案提供商。VPN Plus Server可将Synology Router变成VPN服务器,允许通过Web浏览器或客户端进行安全的VPN访问。
漏洞危害:
在1.4.3-0534和1.4.4-0635版本之前的Synology VPN Plus Server远程桌面功能存在越界写入漏洞,远程攻击者能够利用该漏洞在无需交互的情况下在目标主机执行任意命令或代码。
漏洞编号:
CVE-2022-43931
影响范围:
Synology VPN Plus Server for SRM 1.2 < 1.4.3-0534Synology VPN Plus Server for SRM 1.3 < 1.4.4-0635
修复方案:
及时测试并升级到最新版本或升级版本
来源:安恒信息CERT
2.Fortinet多个漏洞
漏洞介绍:
Fortinet FortiADC是一款应用交付控制器,可优化应用的性能和可用性,同时通过自身的原生安全工具和将应用交付集成到Fortinet Security Fabric安全架构中来保障应用的安全。
漏洞危害:
Fortinet FortiADC命令注入漏洞(CVE-2022-39947):Fortinet FortiADC web界面存在命令注入漏洞,经过身份验证的远程攻击者可以访问Web GUI以通过特制的HTTP请求执行未经授权的代码或命令。
Fortinet FortiTester命令注入漏洞(CVE-2022-35845):FortiTester GUI和API存在命令注入漏洞,经过身份验证的攻击者可以利用该漏洞在shell中执行任意命令
影响范围:
Fortinet FortiADC命令注入漏洞(CVE-2022-39947)
受影响版本:7.0.0 ≤ FortiADC ≤ 7.0.26.2.0 ≤ FortiADC ≤ 6.2.36.1.0 ≤ FortiADC ≤ 6.1.66.0.0 ≤ FortiADC ≤ 6.0.45.4.0 ≤ FortiADC ≤ 5.4.5
Fortinet FortiTester命令注入漏洞(CVE-2022-35845)受影响版本:FortiTester 7.1.0FortiTester 7.0.x4.0.0 ≤ FortiTester ≤ 4.2.02.3.0 ≤ FortiTester ≤ 3.9.1
修复建议:
及时测试并升级到最新版本或升级版本。
来源:安恒信息CERT
3.Apache Kylin命令注入漏洞
漏洞介绍:
Apache Kylin™是一个开源的分布式分析引擎,提供Hadoop之上的SQL查询接口及多维分析(OLAP)能力以支持超大规模数据,最初由eBay Inc. 开发并贡献至开源社区。它能在亚秒内查询巨大的Hive表。
漏洞危害:
CVE-2022-43396: 命令注入漏洞该漏洞存在于Apache Kylin中,是一个命令注入漏洞。原因在 CVE-2022-24697 的修复中的黑名单并不完善,攻击者通过绕过该黑名单中的限制内容即可发起攻击。该漏洞允许攻击者通过kylin.engine.spark-cmd参数来执行恶意命令并接管服务器。
CVE-2022-44621: 命令注入漏洞该漏洞存在于Apache Kylin中,是一个命令注入漏洞。由于系统Controller未验证参数,攻击者可以通过HTTP Request 进行命令注入攻击。
影响范围:
Apache Kylin 2.x,3.x,4.x < 4.0.3
修复方案:
及时测试并升级到最新版本或升级版本。
来源:360CERT
4.IBM DB2跨站请求伪造漏洞
漏洞介绍:
IBM DB2是美国国际商业机器(IBM)公司的一套关系型数据库管理系统。该系统的执行环境主要有UNIX、Linux、IBMi、z/OS以及Windows服务器版本。
漏洞危害:
IBM DB2存在跨站请求伪造漏洞,攻击者可利用该漏洞执行从网站信任的用户传输的恶意和未经授权的操作。
漏洞编号:
CVE-2022-41296
影响范围:
IBM Db2 Warehouse on Cloud Pak for Data 3.5IBM Db2 Warehouse on Cloud Pak for Data 4.0IBM Db2 on Cloud Pak for Data 3.5IBM Db2 on Cloud Pak for Data 4.0IBM Db2 on Cloud Pak for Data 4.5IBM Db2 Warehouse on Cloud Pak for Data 4.5
修复方案:
及时测试并升级到最新版本或升级版本。
来源:CNVD
专注渗透测试技术
全球最新网络攻击技术
END
最新文章推荐
- 雷神众测漏洞周报2023.1.3-2023.1.8
- 英语人物描写万能句子(精选271句)_快看点
- 快消息!合肥百货: 第九届董事会第五次临时会议决议公告
- 今日观点!蓝盾光电(300862)1月10日主力资金净买入21.13万元
- 华旺科技(605377)1月9日主力资金净卖出1353.94万元-焦点速看
- 花海劳务分包应该怎样处理?有何法律依据?_热点在线
- 贷款逾期9年还不起会上征信系统吗
- 环球快资讯丨来钱花(马上金融)逾期3千拖欠多久会上征信
- 众安小贷网贷14000逾期暂时还不起会不会面临被对方起诉的风险
- 赔钱!我潜入进特斯拉维权群,听到了车主的愤怒咆哮:全球观热点
- 哈登17中4表现低迷,76人完败!拉文轰41分,武切维奇华丽三双
- 因一部电影,周星驰与4人闹掰,老搭档更是成为永远的遗憾
- 抖音网页版上线“放映厅”功能,无需会员免费看电影电视剧
- 小麻袋借贷逾期二年延迟还款征信有什么影响 天天日报
- 热文:美国掀起数十年最狂热汽车建厂潮,入场海外车企心态复杂
- 央视春晚最新动态!朱迅挑大梁,赵本山潘长江蔡明,确认无缘|天天滚动
- 观察:南昌迎春烟花晚会时间确定!禁燃禁放政策有变?官方回应
- 各地商圈有序回暖 消费回归“烟火气”
- 【天天聚看点】中来股份:高效电池项目一期首批4GW部分产线已实现量产
- 肥东县杨店乡家庭医生电话多少?
- 热门看点:永泰运: 安信证券关于永泰运化工物流股份有限公司2022年持续督导定期现场检查报告
- 天府可乐被申请破产清算?回应:破产的是老企业,新公司经营正常
- 环球今日报丨黄金价格回暖升至6个月高位,分析师:年内或上破2000美元
- 港股异动 | 中升控股(00881)升6% 公司已回购约0.5%股份 招商指其基本面有望重回增长
- 600元和1000元的断桥铝门窗区别在哪?良心师傅提醒,便宜不好捡!
- 5年级网课学生将同学拟成猫画学校日常,妈妈:网课上太久孩子太想回校上学了 全球热闻
- 巨轮智能1月4日盘中涨幅达5%
- 德力股份:公司规划的药用玻璃产能主要生产中性硼硅药用玻璃包装容器
- 焦点热议:有钱花逾期15年延迟还款会上征信系统吗
- 【环球快播报】科拓生物(300858.SZ)定增结果出炉:财通基金、诺德基金等等参投
X 关闭
资讯中心
2021-10-18
强冷空气继续影响中东部地区 局地降温14℃以上
2021-10-18
中东部多地将迎立秋后最冷周末 雨雪天气持续
2021-10-18
北京今天阵风7级天气晴冷 夜间最低气温直逼冰点
2021-10-18
X 关闭