雷神眾測(cè)漏洞周報(bào)2021.12.20-2021.12.26-4

聲明

以下內(nèi)容，均摘自于互聯(lián)網(wǎng)，由于傳播，利用此文所提供的信息而造成的任何直接或間接的后果和損失，均由使用者本人負(fù)責(zé)，雷神眾測(cè)以及文章作者不承擔(dān)任何責(zé)任。

雷神眾測(cè)擁有該文章的修改和解釋權(quán)。如欲轉(zhuǎn)載或傳播此文章，必須保證此文章的副本，包括版權(quán)聲明等全部?jī)?nèi)容。聲明雷神眾測(cè)允許，不得任意修改或增減此文章內(nèi)容，不得以任何方式將其用于商業(yè)目的。

目錄

1. Apache HTTP Server多個(gè)漏洞

2. Laravel Framework反序列化漏洞

3. GoAhead文件上傳漏洞

4. VMware vCenter Server文件上傳漏洞

漏洞詳情

1. Apache HTTP Server多個(gè)漏洞

漏洞介紹：

Apache HTTP Server（簡(jiǎn)稱Apache），是Apache軟件基金會(huì)的一個(gè)開(kāi)放源代碼的網(wǎng)頁(yè)服務(wù)器，可以在大多數(shù)電腦操作系統(tǒng)中運(yùn)行，由于其具有的跨平臺(tái)性和安全性，被廣泛使用，是最流行的Web服務(wù)器端軟件之一。

漏洞危害：

CVE-2021-44224：Apache HTTP Server 2.4.51及更早版本的轉(zhuǎn)發(fā)代理配置中可能存在空指針引用和服務(wù)端請(qǐng)求偽造風(fēng)險(xiǎn)，攻擊者可通過(guò)構(gòu)造惡意的HTTP請(qǐng)求觸發(fā)服務(wù)器崩潰，或利用該漏洞訪問(wèn)服務(wù)端內(nèi)部網(wǎng)絡(luò)。

CVE-2021-44790：Apache HTTP Server 2.4.51及更早版本通過(guò)mod_lua解析多部分內(nèi)容時(shí)可能出現(xiàn)緩沖區(qū)溢出，該漏洞可能被攻擊者用于在目標(biāo)服務(wù)器上執(zhí)行任意代碼。該模塊默認(rèn)不啟用，未啟用該模塊的Apache HTTP Server不受該漏洞影響。

漏洞編號(hào)：

CVE-2021-44224

CVE-2021-44790

影響范圍：

Apache HTTP Server <= 2.4.51

修復(fù)方案：

及時(shí)測(cè)試并升級(jí)到最新版本

來(lái)源：安恒信息應(yīng)急響應(yīng)中心

2. Laravel Framework反序列化漏洞

漏洞介紹：

Laravel Framework是Taylor Otwell個(gè)人開(kāi)發(fā)者的一款基于PHP的Web應(yīng)用程序開(kāi)發(fā)框架。

漏洞危害：

Laravel v5.1存在安全漏洞，該漏洞源于組件MockeryGeneratorDefinedTargetClass包含一個(gè)反序列化漏洞，目前沒(méi)有詳細(xì)的漏洞細(xì)節(jié)提供。

漏洞編號(hào)：

CVE-2021-37298

影響范圍：

Taylor Otwell Laravel Framework v5.1Google Chrome < 96.0.4664.110

修復(fù)方案：

及時(shí)測(cè)試并升級(jí)到最新版本

來(lái)源：CNVD

3.?GoAhead文件上傳漏洞

漏洞介紹：

GoAhead是美國(guó)Embedthis Software公司的一個(gè)開(kāi)源的小型嵌入式 Web 服務(wù)器。

漏洞危害：

GoAhead存在文件上傳漏洞，該漏洞源于在文件上傳過(guò)濾器中過(guò)濾處理的不全。攻擊者可利用此漏洞將不受信任的環(huán)境變量導(dǎo)入到脆弱的CGI腳本。?

漏洞編號(hào)：

CVE-2021-42342

修復(fù)建議：

及時(shí)測(cè)試并升級(jí)到最新版本或升級(jí)版本

來(lái)源：CNVD

4. VMware vCenter Server文件上傳漏洞

漏洞介紹：

Vmware VMware vCenter Server是美國(guó)威睿（Vmware）公司的一套服務(wù)器和虛擬化管理軟件。該軟件提供了一個(gè)用于管理VMware vSphere環(huán)境的集中式平臺(tái)，可自動(dòng)實(shí)施和交付虛擬基礎(chǔ)架構(gòu)。

漏洞危害：

VMware vCenter Server存在文件上傳漏洞，攻擊者可利用該漏洞通過(guò)上傳特制文件在vCenter Server上執(zhí)行代碼。

漏洞編號(hào)：

CVE-2021-22005

影響范圍：

VMWare vCenter Server

修復(fù)建議：

及時(shí)測(cè)試并升級(jí)到最新版本

來(lái)源：CNVD

專注滲透測(cè)試技術(shù)

全球最新網(wǎng)絡(luò)攻擊技術(shù)

END