实时

您的位置:首页>资讯 >

雷神众测漏洞周报2023.1.3-2023.1.8

以下内容,均摘自于互联网,由于传播,利用此文所提供的信息而造成的任何直接或间接的后果和损失,均由使用者本人负责,雷神众测以及文章作者不承担任何责任。雷神众测拥有该文章的修改和解释权。如欲转载或传播此文章,必须保证此文章的副本,包括版权声明等全部内容。声明雷神众测允许,不得任意修改或增减此文章内容,不得以任何方式将其用于商业目的。

目录

1.Synology VPN Plus Server越界写入漏洞2.Fortinet多个漏洞3.Apache Kylin命令注入漏洞4.IBM DB2跨站请求伪造漏洞


(资料图片)

漏洞详情

1.Synology VPN Plus Server越界写入漏洞

漏洞介绍:

Synology(群晖科技)是全球知名的网络存储解决方案提供商。VPN Plus Server可将Synology Router变成VPN服务器,允许通过Web浏览器或客户端进行安全的VPN访问。

漏洞危害:

在1.4.3-0534和1.4.4-0635版本之前的Synology VPN Plus Server远程桌面功能存在越界写入漏洞,远程攻击者能够利用该漏洞在无需交互的情况下在目标主机执行任意命令或代码。

漏洞编号:

CVE-2022-43931

影响范围:

Synology VPN Plus Server for SRM 1.2 < 1.4.3-0534Synology VPN Plus Server for SRM 1.3 < 1.4.4-0635

修复方案:

及时测试并升级到最新版本或升级版本

来源:安恒信息CERT

2.Fortinet多个漏洞

漏洞介绍:

Fortinet FortiADC是一款应用交付控制器,可优化应用的性能和可用性,同时通过自身的原生安全工具和将应用交付集成到Fortinet Security Fabric安全架构中来保障应用的安全。

漏洞危害:

Fortinet FortiADC命令注入漏洞(CVE-2022-39947):Fortinet FortiADC web界面存在命令注入漏洞,经过身份验证的远程攻击者可以访问Web GUI以通过特制的HTTP请求执行未经授权的代码或命令。

Fortinet FortiTester命令注入漏洞(CVE-2022-35845):FortiTester GUI和API存在命令注入漏洞,经过身份验证的攻击者可以利用该漏洞在shell中执行任意命令

影响范围:

Fortinet FortiADC命令注入漏洞(CVE-2022-39947)

受影响版本:7.0.0 ≤ FortiADC ≤ 7.0.26.2.0 ≤ FortiADC ≤ 6.2.36.1.0 ≤ FortiADC ≤ 6.1.66.0.0 ≤ FortiADC ≤ 6.0.45.4.0 ≤ FortiADC ≤ 5.4.5

Fortinet FortiTester命令注入漏洞(CVE-2022-35845)受影响版本:FortiTester 7.1.0FortiTester 7.0.x4.0.0 ≤ FortiTester ≤ 4.2.02.3.0 ≤ FortiTester ≤ 3.9.1

修复建议:

及时测试并升级到最新版本或升级版本。

来源:安恒信息CERT

3.Apache Kylin命令注入漏洞

漏洞介绍:

Apache Kylin™是一个开源的分布式分析引擎,提供Hadoop之上的SQL查询接口及多维分析(OLAP)能力以支持超大规模数据,最初由eBay Inc. 开发并贡献至开源社区。它能在亚秒内查询巨大的Hive表。

漏洞危害:

CVE-2022-43396: 命令注入漏洞该漏洞存在于Apache Kylin中,是一个命令注入漏洞。原因在 CVE-2022-24697 的修复中的黑名单并不完善,攻击者通过绕过该黑名单中的限制内容即可发起攻击。该漏洞允许攻击者通过kylin.engine.spark-cmd参数来执行恶意命令并接管服务器。

CVE-2022-44621: 命令注入漏洞该漏洞存在于Apache Kylin中,是一个命令注入漏洞。由于系统Controller未验证参数,攻击者可以通过HTTP Request 进行命令注入攻击。

影响范围:

Apache Kylin 2.x,3.x,4.x < 4.0.3

修复方案:

及时测试并升级到最新版本或升级版本。

来源:360CERT

4.IBM DB2跨站请求伪造漏洞

漏洞介绍:

IBM DB2是美国国际商业机器(IBM)公司的一套关系型数据库管理系统。该系统的执行环境主要有UNIX、Linux、IBMi、z/OS以及Windows服务器版本。

漏洞危害:

IBM DB2存在跨站请求伪造漏洞,攻击者可利用该漏洞执行从网站信任的用户传输的恶意和未经授权的操作。

漏洞编号:

CVE-2022-41296

影响范围:

IBM Db2 Warehouse on Cloud Pak for Data 3.5IBM Db2 Warehouse on Cloud Pak for Data 4.0IBM Db2 on Cloud Pak for Data 3.5IBM Db2 on Cloud Pak for Data 4.0IBM Db2 on Cloud Pak for Data 4.5IBM Db2 Warehouse on Cloud Pak for Data 4.5

修复方案:

及时测试并升级到最新版本或升级版本。

来源:CNVD

专注渗透测试技术

全球最新网络攻击技术

END

关键词: 影响范围 修复方案

推荐阅读
以下内容,均摘自于互联网,由于传播,利用此文所提供的信息而造成的任何直接或间接的后果和损失,均由使用者本人负责,雷神众测以及文章作者

2023-01-10 12:21:57

2023年佛山春节漫展待更新中……2022年佛山春节漫展汇总(更新:2022 1 21)一、2022顺德AAC动漫展新年特典活动日期:2022年2月7日10:

2023-01-10 11:38:07

(原标题:四万多人挤爆直播间!董承非新年首度发声:消费面临四大挑战,港股或比A股更乐观)资管大佬董承非的市场观点总是格外引人关注。1月9

2023-01-10 10:56:58

国际投资机构纷纷上调2023年中国经济增速预测。一些西方媒体无视中国防疫政策调整给中国和世界经济带来的利好因素,毫无根据地唱衰中国经济。

2023-01-10 09:34:32

DASOU的学习圈内有些朋友是已经工作的,因为敏感原因,常常会私下问我一些问题,我一般会根据自己的经验给一些看法。有些朋友在求职的时候,对

2023-01-09 20:05:14

如果用煤气取暖,一罐煤气要用多久,这个必须根据每天取暖的时间,以及取暖的面积有关系,如果面积比较大的话,用的时间比较长,那煤气就比较

2023-01-09 18:27:12

23苏州银行CD007发布发行公告

2023-01-09 18:18:02

Hi,欢迎大家在有空的时候做客【江涛学编程】,这里是2023年的第3篇原创文章,今天我们来聊聊十来万的车买什么?AE86(卡罗拉四代,不知道AE86

2023-01-09 18:25:05

2023年新年上班第二天,就迎来酒店业并购大新闻。1月4日晚间,绿地控股(600606)发布公告表示,公司拟与明宇商旅股

2023-01-09 15:18:16

网贷逾期一般会上征信,有些借贷机构在用户逾期后一天后就会上报给征信机构,而有些借贷机构则是会在几天后上报给征信机构,因为有些借贷机构可

2023-01-09 13:52:37

1月7日拍摄的卢龙县城的明代永平府城墙西门瓮城(无人机照片)。近日,河北省秦皇岛市卢龙县城的明代永平府城墙西门及西门瓮城

2023-01-09 11:40:02

1月5日,记者探访我市多家零售药店,及生产厂家发现,退烧、止咳、抗病毒、感冒等药品供应基本稳定,价格也很平稳。记者从相关部门了解到,我

2023-01-07 02:25:03

北京环境中标三河市城乡环卫一体化服务项目!北极星固废网获悉,北京环境中标三河市城乡环卫一体化服务项目,详情如下:项目名称:三河市城乡

2023-01-06 23:56:33

拒绝参数,只谈体验,关注导盲犬小抠,真实解读您熟悉的数码产品,本文阅读预计耗时3分钟。作为主打便携使用的产品,平板电脑从一开始就占据了

2023-01-06 21:35:07

挖贝网1月6日,腾达建设(600512)近日发布公告,公司收到杭州未来科技城建设有限公司发出的《中标通知书》,确定我公司所属的联合体为浙江省

2023-01-06 19:10:15

即日起,四川日报全媒体推出从市州两会看发展新动向栏目,与您一起关注市州发展新动向。

2023-01-06 15:55:11

(一)不涉及财产关系的:2000元-30000元 件。上下浮动幅度:20%但收费额不足2000元的按2000元收取。(二)涉及财产关系的,按争议标的额的以下费

2023-01-06 15:24:13

同花顺数据中心显示,思源电气1月5日获融资买入507 90万元,占当日买入金额的5 42%,当前融资余额2 40亿元,占流通市值的1 03%,低于历史20%分

2023-01-06 13:22:20

作为汽车领域的一个小编辑,小编深知每个人的购车需求不同,因此也是尽可能在力所能及的范围内,想要给大家推荐符合大家多元化需求的产品。但

2023-01-06 11:26:40

可能会。如果用户使用网贷消费之后出现了逾期,并且经过网贷机构和第三方的催收人员催缴欠款无果之后,网贷公司可能就会向法院提起诉讼。网贷

2023-01-05 14:12:00