雷神众测漏洞周报2022.02.09-2022.02.13-4
声明
以下内容,均摘自于互联网,由于传播,利用此文所提供的信息而造成的任何直接或间接的后果和损失,均由使用者本人负责,雷神众测以及文章作者不承担任何责任。
雷神众测拥有该文章的修改和解释权。如欲转载或传播此文章,必须保证此文章的副本,包括版权声明等全部内容。声明雷神众测允许,不得任意修改或增减此文章内容,不得以任何方式将其用于商业目的。
目录
1. Apache Dubbo代码问题漏洞
2. 泛微OA存在命令执行漏洞
3. Joomla! DT Register SQL注入漏洞
4. Fortinet FortiWeb操作系统命令注入漏洞
漏洞详情
1. Apache Dubbo代码问题漏洞
漏洞介绍:
Apache Dubbo是美国阿帕奇(Apache)基金会的一款基于Java的轻量级RPC(远程过程调用)框架。该产品提供了基于接口的远程呼叫、容错和负载平衡以及自动服务注册和发现等功能。
漏洞危害:
Apache Dubbo存在代码问题漏洞,该漏洞源于 Dubbo Provider 会检查传入的请求以及该请求对应的序列化类型是否符合服务器设置的配置。攻击者可以利用该漏洞使用该例外情况跳过安全检查(启用时)并使用本机java序列化实现反序列化操作。
漏洞编号:
CVE-2021-37579
影响范围:
Apache Dubbo >=2.7.0,<2.7.13
Apache Dubbo >=3.0.0,<3.0.2
修复方案:
及时测试并升级到最新版本或升级版本
来源:CNVD
2. 泛微OA存在命令执行漏洞
漏洞介绍:
上海泛微网络科技股份有限公司专注于协同管理OA软件领域,并致力于以协同OA为核心帮助企业构建全新的移动办公平台。
漏洞危害:
泛微OA存在命令执行漏洞,攻击者可利用该漏洞获取服务器控制权。
影响范围:
上海泛微网络科技股份有限公司 泛微OA <8.9
修复方案:
及时测试并升级到最新版本或升级版本
来源:CNVD
3.Joomla! DT Register SQL注入漏洞
漏洞介绍:
Joomla!是美国Open Source Matters团队开发的一套开源的内容管理系统(CMS),该系统提供RSS馈送、网站搜索等功能。DT Register是使用在其中的一个预订管理组件。
漏洞危害:
Joomla! DT Register 3.2.7版本中存在SQL注入漏洞。远程攻击者可利用该漏洞通过发送求‘task=edit&id=’查看、添加、更改或删除后端数据库的信息。
漏洞编号:
CVE-2018-6584
影响范围:
Joomla! DT Register 3.2.7
修复建议:
及时测试并升级到最新版本或升级版本
来源:CNVD
4.Fortinet FortiWeb操作系统命令注入漏洞
漏洞介绍:
Fortinet FortiWeb是美国飞塔(Fortinet)公司的一款Web应用层防火墙,它能够阻断如跨站点脚本、SQL注入、Cookie中毒、schema中毒等攻击的威胁,保证Web应用程序的安全性并保护敏感的数据库内容。
漏洞危害:
Fortinet FortiWeb存在操作系统命令注入漏洞,攻击者可以利用该漏洞通过特制的HTTP请求执行未经授权的代码或命令。
漏洞编号:
CVE-2021-41018
影响范围:
Fortinet FortiWeb >=6.2.0,<6.2.7
Fortinet FortiWeb >=6.3.0,<6.3.16
Fortinet FortiWeb >=6.4.0,<6.4.2
修复建议:
及时测试并升级到最新版本
来源:CNVD
专注渗透测试技术
全球最新网络攻击技术