雷神众测漏洞周报2022.04.06-2022.04.10-4
声明
以下内容,均摘自于互联网,由于传播,利用此文所提供的信息而造成的任何直接或间接的后果和损失,均由使用者本人负责,雷神众测以及文章作者不承担任何责任。
雷神众测拥有该文章的修改和解释权。如欲转载或传播此文章,必须保证此文章的副本,包括版权声明等全部内容。声明雷神众测允许,不得任意修改或增减此文章内容,不得以任何方式将其用于商业目的。
目录
1. Gitlab 硬编码漏洞
2. Apache James Server远程命令执行漏洞
3. F5 BIG-IQ访问控制错误漏洞
4. Google Android权限提升漏洞
漏洞详情
1.Gitlab 硬编码漏洞
漏洞介绍:
GitLab 是一个用于仓库管理系统的开源项目,使用 Git 作为代码管理工具,可通过 Web 界面访问公开或私人项目。
漏洞危害:
系统为使用了 OmniAuth 提供程序(例如 OAuth、LDAP、SAML)注册的帐户设置了硬编码密码,从而允许攻击者可直接通过该硬编码密码登录并接管帐户。
漏洞编号:
CVE-2022-1162
影响范围:
14.7 <= Gitlab CE/EE <14.7.7
14.8 <= Gitlab CE/EE <14.8.5
14.9 <= Gitlab CE/EE <14.9.2
修复方案:
及时测试并升级到最新版本或升级版本
来源:360CERT
2. Apache James Server远程命令执行漏洞
漏洞介绍:
Apache James Server是美国阿帕奇(Apache)软件基金会的一款采用纯Java技术开发的开源SMTP和POP3邮件服务器及NNTP新闻服务器。
漏洞危害:
Apache James Server存在远程命令执行漏洞。攻击者可利用该漏洞在浏览器上下文中执行任意代码。
影响范围:
Apache Apache James 2.3.2
修复建议:
及时测试并升级到最新版本或升级版本
来源:CNVD
3.F5 BIG-IQ访问控制错误漏洞
漏洞介绍:
F5 BIG-IQ是美国F5公司的一套基于软件的云管理解决方案。该方案支持跨公共和私有云、传统数据中心和混合环境部署应用交付和网络服务。
漏洞危害:
F5 BIG-IQ system存在访问控制错误漏洞,该漏洞源于BIG-IQ system中的访问限制不当造成的。远程管理员可以访问由同一 BIG-IQ 系统管理的所有 BIG-IP 设备。攻击者可利用该漏洞未经授权访问其他受限功能。
漏洞编号:
CVE-2022-23009
影响范围:
F5 BIG-IQ Centralized Management 8.0.0
修复建议:
及时测试并升级到最新版本或升级版本
来源:CNVD
4.Google Android权限提升漏洞
漏洞介绍:
Google Android是美国谷歌(Google)公司的的一套以Linux为基础的开源操作系统。
漏洞危害:
Google Android存在安全漏洞,该漏洞源于WindowManager中缺少权限检查,攻击者可利用该漏洞升级权限。
漏洞编号:
CVE-2021-39749
影响范围:
Google Android 12.1
修复建议:
及时测试并升级到最新版本
来源:CNVD
专注渗透测试技术
全球最新网络攻击技术