雷神眾測漏洞周報2023.1.3-2023.1.8

    

    
時間:2023-01-12 03:35:28  來源:程序員客棧  

    

    

      
1

      

        
        

          
聽新聞

          

          

        

        
      

      

    

    

      
      

        
 
以下內容,均摘自于互聯網,由于傳播,利用此文所提供的信息而造成的任何直接或間接的后果和損失,均由使用者本人負責,雷神眾測以及文章作者不承擔任何責任。雷神眾測擁有該文章的修改和解釋權。如欲轉載或傳播此文章,必須保證此文章的副本,包括版權聲明等全部內容。聲明雷神眾測允許,不得任意修改或增減此文章內容,不得以任何方式將其用于商業目的。
目錄

(資料圖)
1.Synology VPN Plus Server越界寫入漏洞2.Fortinet多個漏洞3.Apache Kylin命令注入漏洞4.IBM DB2跨站請求偽造漏洞
漏洞詳情
1.Synology VPN Plus Server越界寫入漏洞
漏洞介紹:
Synology(群暉科技)是全球知名的網絡存儲解決方案提供商。VPN Plus Server可將Synology Router變成VPN服務器,允許通過Web瀏覽器或客戶端進行安全的VPN訪問。
漏洞危害:
在1.4.3-0534和1.4.4-0635版本之前的Synology VPN Plus Server遠程桌面功能存在越界寫入漏洞,遠程攻擊者能夠利用該漏洞在無需交互的情況下在目標主機執行任意命令或代碼。
漏洞編號:
CVE-2022-43931
影響范圍:
Synology VPN Plus Server for SRM 1.2 < 1.4.3-0534Synology VPN Plus Server for SRM 1.3 < 1.4.4-0635
修復方案:
及時測試并升級到最新版本或升級版本
來源:安恒信息CERT
2.Fortinet多個漏洞
漏洞介紹:
Fortinet FortiADC是一款應用交付控制器,可優化應用的性能和可用性,同時通過自身的原生安全工具和將應用交付集成到Fortinet Security Fabric安全架構中來保障應用的安全。
漏洞危害:
Fortinet FortiADC命令注入漏洞(CVE-2022-39947):Fortinet FortiADC web界面存在命令注入漏洞,經過身份驗證的遠程攻擊者可以訪問Web GUI以通過特制的HTTP請求執行未經授權的代碼或命令。
Fortinet FortiTester命令注入漏洞(CVE-2022-35845):FortiTester GUI和API存在命令注入漏洞,經過身份驗證的攻擊者可以利用該漏洞在shell中執行任意命令
影響范圍:
Fortinet FortiADC命令注入漏洞(CVE-2022-39947)
受影響版本:7.0.0 ≤ FortiADC ≤ 7.0.26.2.0 ≤ FortiADC ≤ 6.2.36.1.0 ≤ FortiADC ≤ 6.1.66.0.0 ≤ FortiADC ≤ 6.0.45.4.0 ≤ FortiADC ≤ 5.4.5
Fortinet FortiTester命令注入漏洞(CVE-2022-35845)受影響版本:FortiTester 7.1.0FortiTester 7.0.x4.0.0 ≤ FortiTester ≤ 4.2.02.3.0 ≤ FortiTester ≤ 3.9.1
修復建議:
及時測試并升級到最新版本或升級版本。
來源:安恒信息CERT
3.Apache Kylin命令注入漏洞
漏洞介紹:
Apache Kylin?是一個開源的分布式分析引擎,提供Hadoop之上的SQL查詢接口及多維分析(OLAP)能力以支持超大規模數據,最初由eBay Inc. 開發并貢獻至開源社區。它能在亞秒內查詢巨大的Hive表。
漏洞危害:
CVE-2022-43396: 命令注入漏洞該漏洞存在于Apache Kylin中,是一個命令注入漏洞。原因在 CVE-2022-24697 的修復中的黑名單并不完善,攻擊者通過繞過該黑名單中的限制內容即可發起攻擊。該漏洞允許攻擊者通過kylin.engine.spark-cmd參數來執行惡意命令并接管服務器。
CVE-2022-44621: 命令注入漏洞該漏洞存在于Apache Kylin中,是一個命令注入漏洞。由于系統Controller未驗證參數,攻擊者可以通過HTTP Request 進行命令注入攻擊。
影響范圍:
Apache Kylin 2.x,3.x,4.x < 4.0.3
修復方案:
及時測試并升級到最新版本或升級版本。
來源:360CERT
4.IBM DB2跨站請求偽造漏洞
漏洞介紹:
IBM DB2是美國國際商業機器(IBM)公司的一套關系型數據庫管理系統。該系統的執行環境主要有UNIX、Linux、IBMi、z/OS以及Windows服務器版本。
漏洞危害:
IBM DB2存在跨站請求偽造漏洞,攻擊者可利用該漏洞執行從網站信任的用戶傳輸的惡意和未經授權的操作。
漏洞編號:
CVE-2022-41296
影響范圍:
IBM Db2 Warehouse on Cloud Pak for Data 3.5IBM Db2 Warehouse on Cloud Pak for Data 4.0IBM Db2 on Cloud Pak for Data 3.5IBM Db2 on Cloud Pak for Data 4.0IBM Db2 on Cloud Pak for Data 4.5IBM Db2 Warehouse on Cloud Pak for Data 4.5
修復方案:
及時測試并升級到最新版本或升級版本。
來源:CNVD
專注滲透測試技術
全球最新網絡攻擊技術
END