雷神眾測漏洞周報2022.02.09-2022.02.13-4
聲明
以下內(nèi)容,均摘自于互聯(lián)網(wǎng),由于傳播,利用此文所提供的信息而造成的任何直接或間接的后果和損失,均由使用者本人負責,雷神眾測以及文章作者不承擔任何責任。
雷神眾測擁有該文章的修改和解釋權。如欲轉載或傳播此文章,必須保證此文章的副本,包括版權聲明等全部內(nèi)容。聲明雷神眾測允許,不得任意修改或增減此文章內(nèi)容,不得以任何方式將其用于商業(yè)目的。
目錄
1. Apache Dubbo代碼問題漏洞
2. 泛微OA存在命令執(zhí)行漏洞
3. Joomla! DT Register SQL注入漏洞
4. Fortinet FortiWeb操作系統(tǒng)命令注入漏洞
漏洞詳情
1. Apache Dubbo代碼問題漏洞
漏洞介紹:
Apache Dubbo是美國阿帕奇(Apache)基金會的一款基于Java的輕量級RPC(遠程過程調(diào)用)框架。該產(chǎn)品提供了基于接口的遠程呼叫、容錯和負載平衡以及自動服務注冊和發(fā)現(xiàn)等功能。
漏洞危害:
Apache Dubbo存在代碼問題漏洞,該漏洞源于 Dubbo Provider 會檢查傳入的請求以及該請求對應的序列化類型是否符合服務器設置的配置。攻擊者可以利用該漏洞使用該例外情況跳過安全檢查(啟用時)并使用本機java序列化實現(xiàn)反序列化操作。
漏洞編號:
CVE-2021-37579
影響范圍:
Apache Dubbo >=2.7.0,<2.7.13
Apache Dubbo >=3.0.0,<3.0.2
修復方案:
及時測試并升級到最新版本或升級版本
來源:CNVD?
2. 泛微OA存在命令執(zhí)行漏洞
漏洞介紹:
上海泛微網(wǎng)絡科技股份有限公司專注于協(xié)同管理OA軟件領域,并致力于以協(xié)同OA為核心幫助企業(yè)構建全新的移動辦公平臺。
漏洞危害:
泛微OA存在命令執(zhí)行漏洞,攻擊者可利用該漏洞獲取服務器控制權。
影響范圍:
上海泛微網(wǎng)絡科技股份有限公司 泛微OA <8.9
修復方案:
及時測試并升級到最新版本或升級版本
來源:CNVD
3.Joomla! DT Register SQL注入漏洞
漏洞介紹:
Joomla!是美國Open Source Matters團隊開發(fā)的一套開源的內(nèi)容管理系統(tǒng)(CMS),該系統(tǒng)提供RSS饋送、網(wǎng)站搜索等功能。DT Register是使用在其中的一個預訂管理組件。
漏洞危害:
Joomla! DT Register 3.2.7版本中存在SQL注入漏洞。遠程攻擊者可利用該漏洞通過發(fā)送求‘task=edit&id=’查看、添加、更改或刪除后端數(shù)據(jù)庫的信息。
漏洞編號:
CVE-2018-6584
影響范圍:
Joomla! DT Register 3.2.7
修復建議:
及時測試并升級到最新版本或升級版本
來源:CNVD
4.Fortinet FortiWeb操作系統(tǒng)命令注入漏洞
漏洞介紹:
Fortinet FortiWeb是美國飛塔(Fortinet)公司的一款Web應用層防火墻,它能夠阻斷如跨站點腳本、SQL注入、Cookie中毒、schema中毒等攻擊的威脅,保證Web應用程序的安全性并保護敏感的數(shù)據(jù)庫內(nèi)容。
漏洞危害:
Fortinet FortiWeb存在操作系統(tǒng)命令注入漏洞,攻擊者可以利用該漏洞通過特制的HTTP請求執(zhí)行未經(jīng)授權的代碼或命令。
漏洞編號:
CVE-2021-41018
影響范圍:
Fortinet FortiWeb >=6.2.0,<6.2.7
Fortinet FortiWeb >=6.3.0,<6.3.16
Fortinet FortiWeb >=6.4.0,<6.4.2
修復建議:
及時測試并升級到最新版本
來源:CNVD
專注滲透測試技術
全球最新網(wǎng)絡攻擊技術