雷神众测漏洞周报2021.10.18-2021.10.24-4
声明
以下内容,均摘自于互联网,由于传播,利用此文所提供的信息而造成的任何直接或间接的后果和损失,均由使用者本人负责,雷神众测以及文章作者不承担任何责任。
雷神众测拥有该文章的修改和解释权。如欲转载或传播此文章,必须保证此文章的副本,包括版权声明等全部内容。声明雷神众测允许,不得任意修改或增减此文章内容,不得以任何方式将其用于商业目的。
目录
1. Oracle MySQL JDBC XXE漏洞
2. Google Android WideVine代码执行漏洞
3. ZOHO ManageEngine ADManager Plus文件上传漏洞
4. Mozilla Rust内存泄露漏洞
漏洞详情
1.Oracle MySQL JDBC XXE漏洞
漏洞介绍:
MySQL 是最流行的关系型数据库管理系统,在 WEB 应用方面 MySQL 是最好的 RDBMS(Relational Database Management System:关系数据库管理系统)应用软件之一。
漏洞危害:
这个漏洞是由于MySQL JDBC 8.0.27版本之前,存在getSource()方法未对传入的XML数据做校验,导致攻击者可以在XML数据中引入外部实体,造成XXE攻击。
漏洞编号:
CVE-2021-2471
影响范围:
MySQL JDBC < 8.0.27版本
修复方案:
及时测试并升级到最新版本或升级版本
来源: 阿里云应急响应
2. Google Android WideVine代码执行漏洞
漏洞介绍:
Google Android是美国谷歌(Google)公司的的一套以Linux为基础的开源操作系统。
漏洞危害:
Google Android WideVine存在代码执行漏洞,攻击者可利用此漏洞在系统上执行任意代码。
漏洞编号:
CVE-2021-0592
影响范围:
Google Android
修复建议:
及时测试并升级到最新版本或升级版本
来源:CNVD
3. ZOHO ManageEngine ADManager Plus文件上传漏洞
漏洞介绍:
ZOHO ManageEngine ADManager Plus是美国卓豪(ZOHO)公司的一套为使用Windows域的企业用户设计的微软活动目录管理软件。该软件能够协助AD管理员和帮助台技术人员进行日常管理工作,例如批量管理用户帐户和AD对象、给帮助台技术员指派基于角色的访问权限等。
漏洞危害:
ZOHO ManageEngine ADManager Plus存在文件上传漏洞,攻击者可利用该漏洞导致远程代码执行。
漏洞编号:
CVE-2021-37761
影响范围:
ZOHO ManageEngine ADManager Plus <=7110
修复建议:
及时测试并升级到最新版本或升级版本
来源:CNVD
4. Mozilla Rust内存泄露漏洞
漏洞介绍:
Rust是Mozilla基金会的一款通用、编译型编程语言。
漏洞危害:
Mozilla Rust存在内存泄露漏洞,攻击者可利用该漏洞从未初始化的缓冲区读取内存。
漏洞编号:
CVE-2020-36443
影响范围:
Mozilla Rust <0.27.1
修复建议:
及时测试并升级到最新版本
来源:CNVD
专注渗透测试技术
全球最新网络攻击技术