雷神众测漏洞周报2023.1.3-2023.1.8|世界球精选
时间:2023-01-11 01:22:32 来源:程序员客栈
以下内容,均摘自于互联网,由于传播,利用此文所提供的信息而造成的任何直接或间接的后果和损失,均由使用者本人负责,雷神众测以及文章作者不承担任何责任。雷神众测拥有该文章的修改和解释权。如欲转载或传播此文章,必须保证此文章的副本,包括版权声明等全部内容。声明雷神众测允许,不得任意修改或增减此文章内容,不得以任何方式将其用于商业目的。
目录
(资料图)
1.Synology VPN Plus Server越界写入漏洞2.Fortinet多个漏洞3.Apache Kylin命令注入漏洞4.IBM DB2跨站请求伪造漏洞
漏洞详情
1.Synology VPN Plus Server越界写入漏洞
漏洞介绍:
Synology(群晖科技)是全球知名的网络存储解决方案提供商。VPN Plus Server可将Synology Router变成VPN服务器,允许通过Web浏览器或客户端进行安全的VPN访问。
漏洞危害:
在1.4.3-0534和1.4.4-0635版本之前的Synology VPN Plus Server远程桌面功能存在越界写入漏洞,远程攻击者能够利用该漏洞在无需交互的情况下在目标主机执行任意命令或代码。
漏洞编号:
CVE-2022-43931
影响范围:
Synology VPN Plus Server for SRM 1.2 < 1.4.3-0534Synology VPN Plus Server for SRM 1.3 < 1.4.4-0635
修复方案:
及时测试并升级到最新版本或升级版本
来源:安恒信息CERT
2.Fortinet多个漏洞
漏洞介绍:
Fortinet FortiADC是一款应用交付控制器,可优化应用的性能和可用性,同时通过自身的原生安全工具和将应用交付集成到Fortinet Security Fabric安全架构中来保障应用的安全。
漏洞危害:
Fortinet FortiADC命令注入漏洞(CVE-2022-39947):Fortinet FortiADC web界面存在命令注入漏洞,经过身份验证的远程攻击者可以访问Web GUI以通过特制的HTTP请求执行未经授权的代码或命令。
Fortinet FortiTester命令注入漏洞(CVE-2022-35845):FortiTester GUI和API存在命令注入漏洞,经过身份验证的攻击者可以利用该漏洞在shell中执行任意命令
影响范围:
Fortinet FortiADC命令注入漏洞(CVE-2022-39947)
受影响版本:7.0.0 ≤ FortiADC ≤ 7.0.26.2.0 ≤ FortiADC ≤ 6.2.36.1.0 ≤ FortiADC ≤ 6.1.66.0.0 ≤ FortiADC ≤ 6.0.45.4.0 ≤ FortiADC ≤ 5.4.5
Fortinet FortiTester命令注入漏洞(CVE-2022-35845)受影响版本:FortiTester 7.1.0FortiTester 7.0.x4.0.0 ≤ FortiTester ≤ 4.2.02.3.0 ≤ FortiTester ≤ 3.9.1
修复建议:
及时测试并升级到最新版本或升级版本。
来源:安恒信息CERT
3.Apache Kylin命令注入漏洞
漏洞介绍:
Apache Kylin™是一个开源的分布式分析引擎,提供Hadoop之上的SQL查询接口及多维分析(OLAP)能力以支持超大规模数据,最初由eBay Inc. 开发并贡献至开源社区。它能在亚秒内查询巨大的Hive表。
漏洞危害:
CVE-2022-43396: 命令注入漏洞该漏洞存在于Apache Kylin中,是一个命令注入漏洞。原因在 CVE-2022-24697 的修复中的黑名单并不完善,攻击者通过绕过该黑名单中的限制内容即可发起攻击。该漏洞允许攻击者通过kylin.engine.spark-cmd参数来执行恶意命令并接管服务器。
CVE-2022-44621: 命令注入漏洞该漏洞存在于Apache Kylin中,是一个命令注入漏洞。由于系统Controller未验证参数,攻击者可以通过HTTP Request 进行命令注入攻击。
影响范围:
Apache Kylin 2.x,3.x,4.x < 4.0.3
修复方案:
及时测试并升级到最新版本或升级版本。
来源:360CERT
4.IBM DB2跨站请求伪造漏洞
漏洞介绍:
IBM DB2是美国国际商业机器(IBM)公司的一套关系型数据库管理系统。该系统的执行环境主要有UNIX、Linux、IBMi、z/OS以及Windows服务器版本。
漏洞危害:
IBM DB2存在跨站请求伪造漏洞,攻击者可利用该漏洞执行从网站信任的用户传输的恶意和未经授权的操作。
漏洞编号:
CVE-2022-41296
影响范围:
IBM Db2 Warehouse on Cloud Pak for Data 3.5IBM Db2 Warehouse on Cloud Pak for Data 4.0IBM Db2 on Cloud Pak for Data 3.5IBM Db2 on Cloud Pak for Data 4.0IBM Db2 on Cloud Pak for Data 4.5IBM Db2 Warehouse on Cloud Pak for Data 4.5
修复方案:
及时测试并升级到最新版本或升级版本。
来源:CNVD
专注渗透测试技术
全球最新网络攻击技术
END
最新文章推荐
- 雷神众测漏洞周报2023.1.3-2023.1.8|世界球精选
- 英方软件(688435.SH):网上发行最终中签率为0.03991428%
- 每日快讯!NBA丨詹姆斯缺阵,湖人惨败掘金结束5连胜
- 离婚协议上有贷款房子怎么分割-全球热点评
- 天天实时:安鑫花借款逾期34年会上征信系统吗
- 环球精选!后市有好戏
- 武汉护照照片要求-天天快报
- 哔哩哔哩-W(09626)拟增发新股净筹3.97亿美元用于回购可转债,资产负债表显著优化|环球消息
- 资讯推荐:贴心服务助企发展(财经故事·提振信心出实招)
- 环球快资讯:盒马鲜生全面盈利,马云的新零售预言成功
- 2000卡的食物是什么?
- 海陆重工:2022年新签订单33.9亿,近80%来自工业制造
- 谁会用抖音桌面端聊天软件?_天天快讯
- 天天滚动:数百亿资产减持,“下棋人”郭广昌的进与退
- 借购消费贷逾期41天会上征信系统吗-实时
- 山西:做强做优链主企业
- 要闻:十五十六两季喜团圆!2023《乡村爱情15》定档1月12日
- 侨银环保中标约2.2亿环卫项目!铅山县城乡环卫一体化PPP项目(B标段)中标公告
- 环球快资讯丨下月真我GT Neo5首发量产,240W满级秒充即将到来
- 公元股份2022年预计净利8076.14万-1.21亿同比下降79%-86% 管道销量下降-环球看热讯
- 外交部发言人介绍“乙类乙管”后中方入境措施
- 天天观察:白猫贷贷款逾期19天拖欠多久上征信
- 华夏航空:1月5日获融资买入875.28万元,占当日流入资金比例19.83%
- iPhone14Pro全天候显示屏有多费电?实测每小时不到1%
- 【环球快播报】如果网贷逾期35年后果有哪些
- 留兰香薄荷为什么不能在家养?|全球看点
- 【全球新视野】坤集团(00924)发盈喜 预计取得半年期股东应占纯利不超过约70万新加坡元 同比扭亏为盈
- 净抛了4.86万亿日元!日债遭创纪录抛售,日央行连续4天“接盘”|焦点报道
- 《向风而行》程霄真实身份是什么 程霄什么时候升机长?
- 新市民注意了!春节返乡买火车票可用花呗分期免息!
X 关闭
资讯中心
个人养老金制度启动实施 满足人民群众日益增长的多样化养老保障需要
2022-12-22
传拼多多成立出海项目组 或将与极兔速递进行合作
2022-08-06
低价高品质引发抢购热潮 盒马生鲜奥莱在京靠什么赚钱?
2022-07-08
厦门保障性租赁房认定细则发布 配租面向新市民群体年度租金涨幅不超过5%
2022-05-20
X 关闭