雷神众测漏洞周报2021.10.18-2021.10.24-4

共 1224字,需浏览 3分钟

 ·

2021-10-28 20:48

声明

以下内容,均摘自于互联网,由于传播,利用此文所提供的信息而造成的任何直接或间接的后果和损失,均由使用者本人负责,雷神众测以及文章作者不承担任何责任。

雷神众测拥有该文章的修改和解释权。如欲转载或传播此文章,必须保证此文章的副本,包括版权声明等全部内容。声明雷神众测允许,不得任意修改或增减此文章内容,不得以任何方式将其用于商业目的。


目录

1. Oracle MySQL JDBC XXE漏洞

2. Google Android WideVine代码执行漏洞

3. ZOHO ManageEngine ADManager Plus文件上传漏洞

4. Mozilla Rust内存泄露漏洞


漏洞详情

1.Oracle MySQL JDBC XXE漏洞


漏洞介绍:
MySQL 是最流行的关系型数据库管理系统,在 WEB 应用方面 MySQL 是最好的 RDBMS(Relational Database Management System:关系数据库管理系统)应用软件之一。


漏洞危害:
这个漏洞是由于MySQL JDBC 8.0.27版本之前,存在getSource()方法未对传入的XML数据做校验,导致攻击者可以在XML数据中引入外部实体,造成XXE攻击。


漏洞编号:
CVE-2021-2471


影响范围:
MySQL JDBC < 8.0.27版本


修复方案:
及时测试并升级到最新版本或升级版本


来源: 阿里云应急响应

2. Google Android WideVine代码执行漏洞


漏洞介绍:

Google Android是美国谷歌(Google)公司的的一套以Linux为基础的开源操作系统。


漏洞危害:

Google Android WideVine存在代码执行漏洞,攻击者可利用此漏洞在系统上执行任意代码。


漏洞编号:

CVE-2021-0592


影响范围:

Google Android


修复建议:

及时测试并升级到最新版本或升级版本


来源:CNVD

3. ZOHO ManageEngine ADManager Plus文件上传漏洞


漏洞介绍:

ZOHO ManageEngine ADManager Plus是美国卓豪(ZOHO)公司的一套为使用Windows域的企业用户设计的微软活动目录管理软件。该软件能够协助AD管理员和帮助台技术人员进行日常管理工作,例如批量管理用户帐户和AD对象、给帮助台技术员指派基于角色的访问权限等。


漏洞危害:

ZOHO ManageEngine ADManager Plus存在文件上传漏洞,攻击者可利用该漏洞导致远程代码执行。 


漏洞编号:

CVE-2021-37761


影响范围:

ZOHO ManageEngine ADManager Plus <=7110


修复建议:

及时测试并升级到最新版本或升级版本


来源:CNVD

4. Mozilla Rust内存泄露漏洞


漏洞介绍:

Rust是Mozilla基金会的一款通用、编译型编程语言。


漏洞危害:

Mozilla Rust存在内存泄露漏洞,攻击者可利用该漏洞从未初始化的缓冲区读取内存。


漏洞编号:

CVE-2020-36443


影响范围:

Mozilla Rust <0.27.1


修复建议:

及时测试并升级到最新版本


来源:CNVD


专注渗透测试技术

全球最新网络攻击技术


END

浏览 21
点赞
评论
收藏
分享

手机扫一扫分享

分享
举报
评论
图片
表情
推荐
点赞
评论
收藏
分享

手机扫一扫分享

分享
举报