以下内容,均摘自于互联网,由于传播,利用此文所提供的信息而造成的任何直接或间接的后果和损失,均由使用者本人负责,雷神众测以及文章作者不承担任何责任。雷神众测拥有该文章的修改和解释权。如欲转载或传播此文章,必须保证此文章的副本,包括版权声明等全部内容。声明雷神众测允许,不得任意修改或增减此文章内容,不得以任何方式将其用于商业目的。
目录
(资料图片)
1.Synology VPN Plus Server越界写入漏洞2.Fortinet多个漏洞3.Apache Kylin命令注入漏洞4.IBM DB2跨站请求伪造漏洞
漏洞详情
1.Synology VPN Plus Server越界写入漏洞
漏洞介绍:
Synology(群晖科技)是全球知名的网络存储解决方案提供商。VPN Plus Server可将Synology Router变成VPN服务器,允许通过Web浏览器或客户端进行安全的VPN访问。
漏洞危害:
在1.4.3-0534和1.4.4-0635版本之前的Synology VPN Plus Server远程桌面功能存在越界写入漏洞,远程攻击者能够利用该漏洞在无需交互的情况下在目标主机执行任意命令或代码。
漏洞编号:
CVE-2022-43931
影响范围:
Synology VPN Plus Server for SRM 1.2 < 1.4.3-0534Synology VPN Plus Server for SRM 1.3 < 1.4.4-0635
修复方案:
及时测试并升级到最新版本或升级版本
来源:安恒信息CERT
2.Fortinet多个漏洞
漏洞介绍:
Fortinet FortiADC是一款应用交付控制器,可优化应用的性能和可用性,同时通过自身的原生安全工具和将应用交付集成到Fortinet Security Fabric安全架构中来保障应用的安全。
漏洞危害:
Fortinet FortiADC命令注入漏洞(CVE-2022-39947):Fortinet FortiADC web界面存在命令注入漏洞,经过身份验证的远程攻击者可以访问Web GUI以通过特制的HTTP请求执行未经授权的代码或命令。
Fortinet FortiTester命令注入漏洞(CVE-2022-35845):FortiTester GUI和API存在命令注入漏洞,经过身份验证的攻击者可以利用该漏洞在shell中执行任意命令
影响范围:
Fortinet FortiADC命令注入漏洞(CVE-2022-39947)
受影响版本:7.0.0 ≤ FortiADC ≤ 7.0.26.2.0 ≤ FortiADC ≤ 6.2.36.1.0 ≤ FortiADC ≤ 6.1.66.0.0 ≤ FortiADC ≤ 6.0.45.4.0 ≤ FortiADC ≤ 5.4.5
Fortinet FortiTester命令注入漏洞(CVE-2022-35845)受影响版本:FortiTester 7.1.0FortiTester 7.0.x4.0.0 ≤ FortiTester ≤ 4.2.02.3.0 ≤ FortiTester ≤ 3.9.1
修复建议:
及时测试并升级到最新版本或升级版本。
来源:安恒信息CERT
3.Apache Kylin命令注入漏洞
漏洞介绍:
Apache Kylin™是一个开源的分布式分析引擎,提供Hadoop之上的SQL查询接口及多维分析(OLAP)能力以支持超大规模数据,最初由eBay Inc. 开发并贡献至开源社区。它能在亚秒内查询巨大的Hive表。
漏洞危害:
CVE-2022-43396: 命令注入漏洞该漏洞存在于Apache Kylin中,是一个命令注入漏洞。原因在 CVE-2022-24697 的修复中的黑名单并不完善,攻击者通过绕过该黑名单中的限制内容即可发起攻击。该漏洞允许攻击者通过kylin.engine.spark-cmd参数来执行恶意命令并接管服务器。
CVE-2022-44621: 命令注入漏洞该漏洞存在于Apache Kylin中,是一个命令注入漏洞。由于系统Controller未验证参数,攻击者可以通过HTTP Request 进行命令注入攻击。
影响范围:
Apache Kylin 2.x,3.x,4.x < 4.0.3
修复方案:
及时测试并升级到最新版本或升级版本。
来源:360CERT
4.IBM DB2跨站请求伪造漏洞
漏洞介绍:
IBM DB2是美国国际商业机器(IBM)公司的一套关系型数据库管理系统。该系统的执行环境主要有UNIX、Linux、IBMi、z/OS以及Windows服务器版本。
漏洞危害:
IBM DB2存在跨站请求伪造漏洞,攻击者可利用该漏洞执行从网站信任的用户传输的恶意和未经授权的操作。
漏洞编号:
CVE-2022-41296
影响范围:
IBM Db2 Warehouse on Cloud Pak for Data 3.5IBM Db2 Warehouse on Cloud Pak for Data 4.0IBM Db2 on Cloud Pak for Data 3.5IBM Db2 on Cloud Pak for Data 4.0IBM Db2 on Cloud Pak for Data 4.5IBM Db2 Warehouse on Cloud Pak for Data 4.5
修复方案:
及时测试并升级到最新版本或升级版本。
来源:CNVD
专注渗透测试技术
全球最新网络攻击技术
END
-
河南全国大学英语四六级考试延期
记者从河南省教育考试院了解到,鉴于目前疫情防控严峻形势,为维护广大考生健康安全,经研究并报教育部有关部门批准,河南省原定于6月11日
-
“国字脸”猴子走红,郑州动物园也有
尖嘴猴腮是人们对猴子的固有认识,但凡事都有例外,最近,郑州市动物园就有一只猴因长着一张方方正正的脸,被送外号人脸猴,其独特的长相令
-
“520”将至,结婚登记记得提前预约
中原区民政局提醒:尽量避免扎堆,只要感情好,每一天都是好日子5月20日因谐音我爱你,成为很多新人眼中寓意美好的好日子。为满足准新人们
-
“中国旅游日”,多家景区推出缤纷活动
5月19日是中国旅游日,今年中国旅游日的活动主题为感悟中华文化享受美好旅程。记者今日从省、市文旅部门获悉,为进一步提振行业发展信心,
-
龙形器与黑釉马:黄河臂弯里的“龙马精神”
浊波浩浩东倾,今来古往无终极。在中国所有的大江大河中,无论从地理空间还是文化意义上来说,黄河都是一个独特的存在。如果从高空中俯瞰,
-
隋唐大运河文化博物馆开馆
在第46个国际博物馆日当天,国家十三五重点文化工程、位于河南洛阳的隋唐大运河文化博物馆,正式面向公众开放。隋唐大运河始建于公元605年
-
四川疫情最新消息|5月18日四川新增本土确诊34例、本土无症状115例
-
【行走郑州·读懂最早中国】23万网友云游麦田里的博物馆,触摸“最早中国”神秘面纱
想要了解郑州这片沃土流淌着的文化脉络吗?想要寻找郑州是最早中国历史起源的佐证吗?5月18日国际博物馆日,由郑州市委网信办指导,新浪河
-
吉林疫情最新消息|吉林省新增本土确诊病例6例、本土无症状感染者15例
5月18日0—24时,吉林省新增本地确诊病例6例(轻型),其中延边州3例,白山市3例(含2例无症状感染者转为确诊病例);新增本地无症状感染者
-
天津疫情最新消息|天津新增7例本土确诊病例和26例本土无症状感染者
2022年5月18日0—24时,天津市新增7例本土新冠肺炎确诊病例(其中4例为无症状感染者转为确诊病例)。新增1例境外输入性新冠肺炎确诊病例。
X 关闭
X 关闭
