雷神众测漏洞周报2022.04.06-2022.04.10-4

共 466字,需浏览 1分钟

 ·

2022-04-16 08:45

声明

以下内容,均摘自于互联网,由于传播,利用此文所提供的信息而造成的任何直接或间接的后果和损失,均由使用者本人负责,雷神众测以及文章作者不承担任何责任。

雷神众测拥有该文章的修改和解释权。如欲转载或传播此文章,必须保证此文章的副本,包括版权声明等全部内容。声明雷神众测允许,不得任意修改或增减此文章内容,不得以任何方式将其用于商业目的。


目录

1. Gitlab 硬编码漏洞

2. Apache James Server远程命令执行漏洞

3. F5 BIG-IQ访问控制错误漏洞

4. Google Android权限提升漏洞


漏洞详情

1.Gitlab 硬编码漏洞


漏洞介绍:

GitLab 是一个用于仓库管理系统的开源项目,使用 Git 作为代码管理工具,可通过 Web 界面访问公开或私人项目。


漏洞危害:

系统为使用了 OmniAuth 提供程序(例如 OAuth、LDAP、SAML)注册的帐户设置了硬编码密码,从而允许攻击者可直接通过该硬编码密码登录并接管帐户。


漏洞编号:

CVE-2022-1162


影响范围:

14.7 <= Gitlab CE/EE <14.7.7

14.8 <= Gitlab CE/EE <14.8.5

14.9 <= Gitlab CE/EE <14.9.2


修复方案:

及时测试并升级到最新版本或升级版本


来源:360CERT


2. Apache James Server远程命令执行漏洞


漏洞介绍:

Apache James Server是美国阿帕奇(Apache)软件基金会的一款采用纯Java技术开发的开源SMTP和POP3邮件服务器及NNTP新闻服务器。


漏洞危害:

Apache James Server存在远程命令执行漏洞。攻击者可利用该漏洞在浏览器上下文中执行任意代码。


影响范围:

Apache Apache James 2.3.2


修复建议:

及时测试并升级到最新版本或升级版本


来源:CNVD


3.F5 BIG-IQ访问控制错误漏洞


漏洞介绍:

F5 BIG-IQ是美国F5公司的一套基于软件的云管理解决方案。该方案支持跨公共和私有云、传统数据中心和混合环境部署应用交付和网络服务。


漏洞危害:

F5 BIG-IQ system存在访问控制错误漏洞,该漏洞源于BIG-IQ system中的访问限制不当造成的。远程管理员可以访问由同一 BIG-IQ 系统管理的所有 BIG-IP 设备。攻击者可利用该漏洞未经授权访问其他受限功能。


漏洞编号:

CVE-2022-23009


影响范围:

F5 BIG-IQ Centralized Management 8.0.0


修复建议:

及时测试并升级到最新版本或升级版本


来源:CNVD


4.Google Android权限提升漏洞


漏洞介绍:

Google Android是美国谷歌(Google)公司的的一套以Linux为基础的开源操作系统。


漏洞危害:

Google Android存在安全漏洞,该漏洞源于WindowManager中缺少权限检查,攻击者可利用该漏洞升级权限。


漏洞编号:

CVE-2021-39749


影响范围:

Google Android 12.1


修复建议:

及时测试并升级到最新版本


来源:CNVD



专注渗透测试技术

全球最新网络攻击技术


END

浏览 27
点赞
评论
收藏
分享

手机扫一扫分享

分享
举报
评论
图片
表情
推荐
点赞
评论
收藏
分享

手机扫一扫分享

分享
举报