雷神众测漏洞周报2022.04.11-2022.04.17-4
声明
以下内容,均摘自于互联网,由于传播,利用此文所提供的信息而造成的任何直接或间接的后果和损失,均由使用者本人负责,雷神众测以及文章作者不承担任何责任。
雷神众测拥有该文章的修改和解释权。如欲转载或传播此文章,必须保证此文章的副本,包括版权声明等全部内容。声明雷神众测允许,不得任意修改或增减此文章内容,不得以任何方式将其用于商业目的。
目录
1. Apache Struts2远程代码执行漏洞
2. Google Chrome V8类型混淆漏洞
3. Microsoft Office远程代码执行漏洞
4. Microsoft Windows Win32k权限提升漏洞
漏洞详情
1.Apache Struts2远程代码执行漏洞
漏洞介绍:
安恒信息CERT监测到国外安全研究员披露了Apache Struts的OGNL表达式注入漏洞(CVE-2021-31805)的攻击代码,攻击者可利用该漏洞从OGNL实现沙盒逃逸完成命令执行。
漏洞危害:
Apache Struts< 2.5.30 存在OGNL表达式注入漏洞(CVE-2021-31805),如果开发人员使用%{...} 语法强制OGNL解析时,当对标签属性中未经验证的原始用户输入进行二次解析时,可能会导致远程代码执行,攻击者可利用该漏洞从OGNL实现沙盒逃逸完成命令执行。
漏洞编号:
CVE-2021-31805
影响范围:
Struts 2.0.0 - Struts 2.5.29
修复方案:
目前官方已发布新版本修复了此漏洞,请受影响的用户尽快更新进行防护
来源:安恒CERT
2. Google Chrome V8类型混淆漏洞
漏洞介绍:
Google Chrome是由Google开发的免费网页浏览器。Chrome代码是基于其他开放源代码软件所编写,包括Apple WebKit和Mozilla Firefox,并开发出称为“V8”的高性能JavaScript引擎。
漏洞危害:
该漏洞为Chrome V8 JavaScript 引擎中的类型混淆漏洞,此类漏洞通常会在成功读取或写入超出缓冲区边界的内存后导致浏览器崩溃或执行任意代码。
影响范围:
Google Chrome < 100.0.4896.127
修复建议:
及时测试并升级到最新版本或升级版本
来源:360CERT
3.Microsoft Office远程代码执行漏洞
漏洞介绍:
Microsoft Office是美国微软(Microsoft)公司的一款办公软件套件产品。该产品常用组件包括Word、Excel、Access、Powerpoint、FrontPage等。
漏洞危害:
Microsoft Office Excel存在远程代码执行漏洞。该漏洞源于外部输入数据构造代码段的过程中,网络系统或产品未能正确过滤其中的特殊元素。攻击者可利用该漏洞导致任意代码执行。
漏洞编号:
CVE-2022-24473
影响范围:
Microsoft Microsoft Office 2019
Microsoft Microsoft Office 2021
修复建议:
及时测试并升级到最新版本或升级版本
来源:CNVD
4.Microsoft Windows Win32k权限提升漏洞
漏洞介绍:
Microsoft Windows是一款由美国微软公司开发的窗口化操作系统。
漏洞危害:
Microsoft Windows Win32k存在权限提升漏洞。攻击者可利用该漏洞提升权限。
漏洞编号:
CVE-2022-26917
影响范围:
Microsoft Office 2019 for Mac
Microsoft 365 Apps for Enterprise for 32-bit Systems
Microsoft 365 Apps for Enterprise for 64-bit Systems
Microsoft Office LTSC for Mac 2021
Microsoft Microsoft Office LTSC 2021 for 64-bit editions
Microsoft Microsoft Office LTSC 2021 for 32-bit editions
修复建议:
及时测试并升级到最新版本
来源:CNVD
专注渗透测试技术
全球最新网络攻击技术