雷神眾測漏洞周報2021.10.18-2021.10.24-4
聲明
以下內(nèi)容,均摘自于互聯(lián)網(wǎng),由于傳播,利用此文所提供的信息而造成的任何直接或間接的后果和損失,均由使用者本人負(fù)責(zé),雷神眾測以及文章作者不承擔(dān)任何責(zé)任。
雷神眾測擁有該文章的修改和解釋權(quán)。如欲轉(zhuǎn)載或傳播此文章,必須保證此文章的副本,包括版權(quán)聲明等全部內(nèi)容。聲明雷神眾測允許,不得任意修改或增減此文章內(nèi)容,不得以任何方式將其用于商業(yè)目的。
目錄
1. Oracle MySQL JDBC XXE漏洞
2. Google Android WideVine代碼執(zhí)行漏洞
3. ZOHO ManageEngine ADManager Plus文件上傳漏洞
4.?Mozilla Rust內(nèi)存泄露漏洞
漏洞詳情
1.Oracle MySQL JDBC XXE漏洞
漏洞介紹:
MySQL 是最流行的關(guān)系型數(shù)據(jù)庫管理系統(tǒng),在 WEB 應(yīng)用方面 MySQL 是最好的 RDBMS(Relational Database Management System:關(guān)系數(shù)據(jù)庫管理系統(tǒng))應(yīng)用軟件之一。
漏洞危害:
這個漏洞是由于MySQL JDBC 8.0.27版本之前,存在getSource()方法未對傳入的XML數(shù)據(jù)做校驗,導(dǎo)致攻擊者可以在XML數(shù)據(jù)中引入外部實體,造成XXE攻擊。
漏洞編號:
CVE-2021-2471
影響范圍:
MySQL JDBC < 8.0.27版本
修復(fù)方案:
及時測試并升級到最新版本或升級版本
來源: 阿里云應(yīng)急響應(yīng)
2. Google Android WideVine代碼執(zhí)行漏洞
漏洞介紹:
Google Android是美國谷歌(Google)公司的的一套以Linux為基礎(chǔ)的開源操作系統(tǒng)。
漏洞危害:
Google Android WideVine存在代碼執(zhí)行漏洞,攻擊者可利用此漏洞在系統(tǒng)上執(zhí)行任意代碼。
漏洞編號:
CVE-2021-0592
影響范圍:
Google Android
修復(fù)建議:
及時測試并升級到最新版本或升級版本
來源:CNVD
3. ZOHO ManageEngine ADManager Plus文件上傳漏洞
漏洞介紹:
ZOHO ManageEngine ADManager Plus是美國卓豪(ZOHO)公司的一套為使用Windows域的企業(yè)用戶設(shè)計的微軟活動目錄管理軟件。該軟件能夠協(xié)助AD管理員和幫助臺技術(shù)人員進(jìn)行日常管理工作,例如批量管理用戶帳戶和AD對象、給幫助臺技術(shù)員指派基于角色的訪問權(quán)限等。
漏洞危害:
ZOHO ManageEngine ADManager Plus存在文件上傳漏洞,攻擊者可利用該漏洞導(dǎo)致遠(yuǎn)程代碼執(zhí)行。?
漏洞編號:
CVE-2021-37761
影響范圍:
ZOHO ManageEngine ADManager Plus <=7110
修復(fù)建議:
及時測試并升級到最新版本或升級版本
來源:CNVD
4.?Mozilla Rust內(nèi)存泄露漏洞
漏洞介紹:
Rust是Mozilla基金會的一款通用、編譯型編程語言。
漏洞危害:
Mozilla Rust存在內(nèi)存泄露漏洞,攻擊者可利用該漏洞從未初始化的緩沖區(qū)讀取內(nèi)存。
漏洞編號:
CVE-2020-36443
影響范圍:
Mozilla Rust <0.27.1
修復(fù)建議:
及時測試并升級到最新版本
來源:CNVD
專注滲透測試技術(shù)
全球最新網(wǎng)絡(luò)攻擊技術(shù)