雷神眾測漏洞周報(bào)2022.06.13-2022.06.19-4
聲明
以下內(nèi)容,均摘自于互聯(lián)網(wǎng),由于傳播,利用此文所提供的信息而造成的任何直接或間接的后果和損失,均由使用者本人負(fù)責(zé),雷神眾測以及文章作者不承擔(dān)任何責(zé)任。
雷神眾測擁有該文章的修改和解釋權(quán)。如欲轉(zhuǎn)載或傳播此文章,必須保證此文章的副本,包括版權(quán)聲明等全部內(nèi)容。聲明雷神眾測允許,不得任意修改或增減此文章內(nèi)容,不得以任何方式將其用于商業(yè)目的。
目錄
1.Google Android權(quán)限提升漏洞
2.禪道存在SQL注入漏洞
3.Cisco Unified CM和Unified CM SME任意文件寫入漏洞
4.Cisco 多款 Small Business 路由器遠(yuǎn)程代碼執(zhí)行漏洞
漏洞詳情
1.Google Android權(quán)限提升漏洞
漏洞介紹:
Google Android是美國谷歌(Google)公司的一套以Linux為基礎(chǔ)的開源操作系統(tǒng)。
漏洞危害:
Google Android存在權(quán)限提升漏洞。該漏洞源于不正確的程序?qū)Ω呒壉镜剡^程的調(diào)用。攻擊者可利用此漏洞導(dǎo)致權(quán)限提升。
漏洞編號:
CVE-2022-20113
影響范圍:
Google Android 12.0
Google Android 12.1
修復(fù)方案:
及時(shí)測試并升級到最新版本或升級版本
來源:CNVD
2.禪道存在SQL注入漏洞
漏洞介紹:
禪道是一款國產(chǎn)的開源項(xiàng)目管理軟件。
漏洞危害:
禪道存在SQL注入漏洞。攻擊者可利用漏洞獲取數(shù)據(jù)庫敏感信息。
影響范圍:
青島易軟天創(chuàng)網(wǎng)絡(luò)科技有限公司 禪道企業(yè)版 6.5
青島易軟天創(chuàng)網(wǎng)絡(luò)科技有限公司 禪道旗艦版 3.0
青島易軟天創(chuàng)網(wǎng)絡(luò)科技有限公司 禪道開源版 16.5
青島易軟天創(chuàng)網(wǎng)絡(luò)科技有限公司 禪道開源16.5.beta1
修復(fù)建議:
及時(shí)測試并升級到最新版本或升級版本
來源:CNVD
3.Cisco Unified CM和Unified CM SME任意文件寫入漏洞
漏洞介紹:
Cisco Unified Communications Manager是美國思科(Cisco)公司的一款統(tǒng)一通信系統(tǒng)中的呼叫處理組件。該組件提供了一種可擴(kuò)展、可分布和高可用的企業(yè)IP電話呼叫處理解決方案。Unified Communications Manager Session Management Edition是Unified Communications Manager的會(huì)話管理版。
漏洞危害:
Cisco Unified CM和Unified CM SME存在任意文件寫入漏洞,攻擊者可利用該漏洞使用根級權(quán)限覆蓋或附加任意數(shù)據(jù)到系統(tǒng)文件。
漏洞編號:
CVE-2022-20789
影響范圍:
Cisco Unified Communications Manager 12.5(1)
Cisco Unified Communications Manager Session Management Edition 12.5(1)
Cisco Unified Communications Manager 14.0
Cisco Unified Communications Manager Session Management Edition 14.0
修復(fù)建議:
及時(shí)測試并升級到最新版本或升級版本
來源:CNVD
4.Cisco 多款 Small Business 路由器遠(yuǎn)程代碼執(zhí)行漏洞
漏洞介紹:
近日,Cisco 發(fā)布安全通告,修復(fù)了多款小型企業(yè)路由器的多個(gè)漏洞。Cisco Small Business RV110W、RV130、RV130W和RV215W路由器基于web的管理界面中存在漏洞,使得未經(jīng)驗(yàn)證的遠(yuǎn)程攻擊者能夠執(zhí)行任意代碼或?qū)е率苡绊懙脑O(shè)備意外重啟,從而導(dǎo)致拒絕服務(wù)(DoS)情況。建議廣大用戶及早升級至最新安全版本。
漏洞危害:
該漏洞是由于傳入HTTP數(shù)據(jù)包的用戶輸入驗(yàn)證不足造成的,攻擊者可以通過向基于web的管理界面發(fā)送精心編制的請求來攻擊此漏洞。成功利用此漏洞可使攻擊者使用根級別權(quán)限在受影響的設(shè)備上執(zhí)行任意命令。
漏洞編號:
CVE-2022-20825
影響范圍:
RV110W Wireless-N VPN Firewall
RV130 VPN Router
RV130W Wireless-N Multifunction VPN Router
RV215W Wireless-N VPN Router
修復(fù)方案:
Cisco尚未發(fā)布也不會(huì)發(fā)布軟件更新來解決本咨詢中描述的漏洞。Cisco小型企業(yè)RV110W、RV130、RV130W和RV215W路由器已停止服務(wù)。建議客戶遷移到Cisco Small Business RV132W、RV160或RV160W路由器
來源:CNVD
專注滲透測試技術(shù)
全球最新網(wǎng)絡(luò)攻擊技術(shù)