雷神众测漏洞周报2022.06.13-2022.06.19-4
声明
以下内容,均摘自于互联网,由于传播,利用此文所提供的信息而造成的任何直接或间接的后果和损失,均由使用者本人负责,雷神众测以及文章作者不承担任何责任。
雷神众测拥有该文章的修改和解释权。如欲转载或传播此文章,必须保证此文章的副本,包括版权声明等全部内容。声明雷神众测允许,不得任意修改或增减此文章内容,不得以任何方式将其用于商业目的。
目录
1.Google Android权限提升漏洞
2.禅道存在SQL注入漏洞
3.Cisco Unified CM和Unified CM SME任意文件写入漏洞
4.Cisco 多款 Small Business 路由器远程代码执行漏洞
漏洞详情
1.Google Android权限提升漏洞
漏洞介绍:
Google Android是美国谷歌(Google)公司的一套以Linux为基础的开源操作系统。
漏洞危害:
Google Android存在权限提升漏洞。该漏洞源于不正确的程序对高级本地过程的调用。攻击者可利用此漏洞导致权限提升。
漏洞编号:
CVE-2022-20113
影响范围:
Google Android 12.0
Google Android 12.1
修复方案:
及时测试并升级到最新版本或升级版本
来源:CNVD
2.禅道存在SQL注入漏洞
漏洞介绍:
禅道是一款国产的开源项目管理软件。
漏洞危害:
禅道存在SQL注入漏洞。攻击者可利用漏洞获取数据库敏感信息。
影响范围:
青岛易软天创网络科技有限公司 禅道企业版 6.5
青岛易软天创网络科技有限公司 禅道旗舰版 3.0
青岛易软天创网络科技有限公司 禅道开源版 16.5
青岛易软天创网络科技有限公司 禅道开源16.5.beta1
修复建议:
及时测试并升级到最新版本或升级版本
来源:CNVD
3.Cisco Unified CM和Unified CM SME任意文件写入漏洞
漏洞介绍:
Cisco Unified Communications Manager是美国思科(Cisco)公司的一款统一通信系统中的呼叫处理组件。该组件提供了一种可扩展、可分布和高可用的企业IP电话呼叫处理解决方案。Unified Communications Manager Session Management Edition是Unified Communications Manager的会话管理版。
漏洞危害:
Cisco Unified CM和Unified CM SME存在任意文件写入漏洞,攻击者可利用该漏洞使用根级权限覆盖或附加任意数据到系统文件。
漏洞编号:
CVE-2022-20789
影响范围:
Cisco Unified Communications Manager 12.5(1)
Cisco Unified Communications Manager Session Management Edition 12.5(1)
Cisco Unified Communications Manager 14.0
Cisco Unified Communications Manager Session Management Edition 14.0
修复建议:
及时测试并升级到最新版本或升级版本
来源:CNVD
4.Cisco 多款 Small Business 路由器远程代码执行漏洞
漏洞介绍:
近日,Cisco 发布安全通告,修复了多款小型企业路由器的多个漏洞。Cisco Small Business RV110W、RV130、RV130W和RV215W路由器基于web的管理界面中存在漏洞,使得未经验证的远程攻击者能够执行任意代码或导致受影响的设备意外重启,从而导致拒绝服务(DoS)情况。建议广大用户及早升级至最新安全版本。
漏洞危害:
该漏洞是由于传入HTTP数据包的用户输入验证不足造成的,攻击者可以通过向基于web的管理界面发送精心编制的请求来攻击此漏洞。成功利用此漏洞可使攻击者使用根级别权限在受影响的设备上执行任意命令。
漏洞编号:
CVE-2022-20825
影响范围:
RV110W Wireless-N VPN Firewall
RV130 VPN Router
RV130W Wireless-N Multifunction VPN Router
RV215W Wireless-N VPN Router
修复方案:
Cisco尚未发布也不会发布软件更新来解决本咨询中描述的漏洞。Cisco小型企业RV110W、RV130、RV130W和RV215W路由器已停止服务。建议客户迁移到Cisco Small Business RV132W、RV160或RV160W路由器
来源:CNVD
专注渗透测试技术
全球最新网络攻击技术