8827太阳集团

首页 > 技术支持 > 升级布告 > 每周升级布告

每周升级布告-2022-08-03

颁布功夫 2022-08-03

新增事务

事务名称：	HTTP_提权攻击_Spring-Data-MongoDB_SpEL表白式注入_号令执行
安全类型：	安全缝隙
事务描述：	SpringDataforMongoDB是SpringData项主张一部门，，，，，，该项目旨在为新的数据存储提供熟悉和一致的基于Spring的编程模型，，，，，，同时保留存储的特定特点和职能。。。。。。。6月20日，，，，，，VMware颁布安全布告，，，，，，建复了SpringDataMongoDB中的一个SpEL表白式注入缝隙（CVE-2022-22980），，，，，，该缝隙的CVSSv3评分为8.2。。。。。。。SpringDataMongoDB利用法式在对蕴含查问参数占位符的SpEL表白式使用@Query或@Aggregation注解的查问步骤进行值绑按时，，，，，，若是输入未被过滤，，，，，，则容易受到SpEL注入攻击。。。。。。。
更新功夫：	20220803

事务名称：	HTTP_文件操作攻击_奇安信天擎_文件上传
安全类型：	安全缝隙
事务描述：	奇安信天擎终端安全治理系统是奇安信的新一代终端安全防御系统。。。。。。。其中存在文件上传缝隙，，，，，，攻击者能够上传恶意文件至指定目录，，，，，，获取指标系统权限。。。。。。。
更新功夫：	20220803

事务名称：	HTTP_文件操作攻击_泛微OA-Ecology-template-import_文件上传
安全类型：	安全缝隙
事务描述：	泛微是由泛微网络开发的OA系统。。。。。。。其中/api/mobilemode/admin/template/import接口存在缝隙，，，，，，攻击者可利用该缝隙上传恶意压缩文件，，，，，，植入webshell，，，，，，获取指标系统权限。。。。。。。
更新功夫：	20220803

事务名称：	HTTP_文件操作攻击_泛微OA-Ecology_app-import_文件上传
安全类型：	安全缝隙
事务描述：	泛微是由泛微网络开发的OA系统。。。。。。。其中/api/mobilemode/admin/app/import接口存在肆意文件上传缝隙，，，，，，攻击者可利用该缝隙上传恶意压缩文件，，，，，，植入webshell，，，，，，获取指标系统权限。。。。。。。
更新功夫：	20220803

事务名称：	HTTP_文件操作攻击_泛微OA-Ecology-skin-import_文件上传
安全类型：	安全缝隙
事务描述：	泛微是由泛微网络开发的OA系统。。。。。。。其中/api/mobilemode/admin/template/import接口存在缝隙，，，，，，攻击者可利用该缝隙上传恶意压缩文件，，，，，，植入webshell，，，，，，获取指标系统权限。。。。。。。
更新功夫：	20220803

事务名称：	TCP_提权攻击_Apache-Commons-Configuration_代码执行[CVE-2022-33980][CNNVD-202207-428]
安全类型：	安全缝隙
事务描述：	ApacheCommonsConfiguration是用于治理配置文件的组件，，，，，，在2.8以前的部门版本中支持了多种变量取值方式，，，，，，蕴含javax.script、dns和url，，，，，，导致能够执行肆意代码或进行网络接见。。。。。。。
更新功夫：	20220803

批改事务

事务名称：	HTTP_提权攻击_Apache_Shiro_v1.7.1以下_非授权接见[CVE-2020-17523][CNNVD-202102-238]
安全类型：	安全缝隙
事务描述：	ApacheShiro是一个壮大且易用的Java安全框架，，，，，，它能够用来执行身份验证、授权、密码和会话治理。。。。。。。目前常见集成于各类利用中进行身份验证，，，，，，授权等。。。。。。。对于ApacheShiro1.7.1之前的版本，，，，，，当将ApacheShiro与Spring节造器一路使用时，，，，，，攻击者特造要求可能会导致身份验证绕过。。。。。。。
更新功夫：	20220803

事务名称：	HTTP_提权攻击_Elasticsearch_未授权接见
安全类型：	安全缝隙
事务描述：	ElasticSearch是一个基于Lucene的搜索服务器。。。。。。。它提供了一个散布式多用户能力的全文搜索引擎，，，，，，基于RESTfulweb接口。。。。。。。Elasticsearch可能存在未授权接见缝隙。。。。。。。该缝隙导致，，，，，，攻击者能够占有Elasticsearch的所有权限。。。。。。。�？？？Ｄ芄欢允萁兴烈獠僮�。。。。。。。业务系统将面对敏感数据泄露、数据迷失、数据遭到粉碎甚至遭到攻击者的勒索。。。。。。。
更新功夫：	20220803

上一篇下一篇

7*24幼时服务热线

400-624-3900

官方微信

官方微博

司法申明

Copyright ? 8827太阳集团版权所有京ICP备05032414号京公网安备11010802024551号

【网站地图】【sitemap】