雷神眾測漏洞周報2022.04.29-2022.05.04-4
聲明
以下內容,均摘自于互聯網,由于傳播,利用此文所提供的信息而造成的任何直接或間接的后果和損失,均由使用者本人負責,雷神眾測以及文章作者不承擔任何責任。
雷神眾測擁有該文章的修改和解釋權。如欲轉載或傳播此文章,必須保證此文章的副本,包括版權聲明等全部內容。聲明雷神眾測允許,不得任意修改或增減此文章內容,不得以任何方式將其用于商業(yè)目的。
目錄
1.Apache CouchDB 遠程代碼執(zhí)行漏洞
2.用友U8-OA企業(yè)版存在SQL注入漏洞
3.VMware Workspace ONE Access and Identity Manager遠程代碼執(zhí)行漏洞
4.Google Android權限提升漏洞
漏洞詳情
1. Apache CouchDB 遠程代碼執(zhí)行漏洞
漏洞介紹:
CouchDB 是一個開源的面向文檔的數據庫管理系統,可以通過 RESTful JavaScript Object Notation (JSON) API 訪問。
漏洞危害:
由于CouchDB的默認安裝配置存在缺陷,未授權的遠程攻擊者可以通過訪問特定端口,繞過權限驗證并獲得管理員權限,最終接管服務器。
漏洞編號:
CVE-2022-24706
影響范圍:
Apache CouchDB < 3.2.2
修復方案:
及時測試并升級到最新版本或升級版本
來源:360CERT
2.用友U8-OA企業(yè)版存在SQL注入漏洞
漏洞介紹:
用友網絡科技股份有限公司是一家企業(yè)云服務與軟件提供商。
漏洞危害:
用友U8-OA企業(yè)版存在SQL注入漏洞,攻擊者可利用該漏洞獲取數據庫敏感信息。
影響范圍:
用友網絡科技股份有限公司 用友U8-OA企業(yè)版 2.83
修復方案:
及時測試并升級到最新版本
來源:CNVD
3.?VMware Workspace ONE Access and Identity Manager遠程代碼執(zhí)行漏洞
漏洞介紹:
Vmware Workspace One Access是美國Vmware公司的將用戶身份與設備和網絡信息等因素結合起來,為 Workspace One 交付的應用程序制定智能驅動的條件訪問決策。
漏洞危害:
VMware Workspace ONE Access and Identity Manager存在遠程代碼執(zhí)行漏洞,該漏洞源于服務器端模板注入漏洞,攻擊者可利用該漏洞通過網絡訪問Web界面以VMware用戶身份執(zhí)行任意shell命令。
漏洞編號:
CVE-2022-22954
影響范圍:
VMware Workspace ONE Access (Access) >=20.10.0.0,<=20.10.0.1
VMware Workspace ONE Access (Access) >=21.08.0.0,<=21.08.0.1
VMware Identity Manager (vIDM) >=3.3.3,<=3.3.6
修復建議:
及時測試并升級到最新版本或升級版本
來源:CNVD
4.Google Android權限提升漏洞
漏洞介紹:
Google Android是美國谷歌(Google)公司的一套以Linux為基礎的開源操作系統。
漏洞危害:
Google Android存在安全漏洞,此漏洞會影響 Amlogic 組件,攻擊者可利用此漏洞升級權限。
漏洞編號:
CVE-2021-39672
影響范圍:
Google Android
修復建議:
及時測試并升級到最新版本
來源:chd.edu.cn
專注滲透測試技術
全球最新網絡攻擊技術