雷神众测漏洞周报2023.1.3-2023.1.8-世界观点
以下内容,均摘自于互联网,由于传播,利用此文所提供的信息而造成的任何直接或间接的后果和损失,均由使用者本人负责,雷神众测以及文章作者不承担任何责任。雷神众测拥有该文章的修改和解释权。如欲转载或传播此文章,必须保证此文章的副本,包括版权声明等全部内容。声明雷神众测允许,不得任意修改或增减此文章内容,不得以任何方式将其用于商业目的。
目录
1.Synology VPN Plus Server越界写入漏洞2.Fortinet多个漏洞3.Apache Kylin命令注入漏洞4.IBM DB2跨站请求伪造漏洞
(相关资料图)
漏洞详情
1.Synology VPN Plus Server越界写入漏洞
漏洞介绍:
Synology(群晖科技)是全球知名的网络存储解决方案提供商。VPN Plus Server可将Synology Router变成VPN服务器,允许通过Web浏览器或客户端进行安全的VPN访问。
漏洞危害:
在1.4.3-0534和1.4.4-0635版本之前的Synology VPN Plus Server远程桌面功能存在越界写入漏洞,远程攻击者能够利用该漏洞在无需交互的情况下在目标主机执行任意命令或代码。
漏洞编号:
CVE-2022-43931
影响范围:
Synology VPN Plus Server for SRM 1.2 < 1.4.3-0534Synology VPN Plus Server for SRM 1.3 < 1.4.4-0635
修复方案:
及时测试并升级到最新版本或升级版本
来源:安恒信息CERT
2.Fortinet多个漏洞
漏洞介绍:
Fortinet FortiADC是一款应用交付控制器,可优化应用的性能和可用性,同时通过自身的原生安全工具和将应用交付集成到Fortinet Security Fabric安全架构中来保障应用的安全。
漏洞危害:
Fortinet FortiADC命令注入漏洞(CVE-2022-39947):Fortinet FortiADC web界面存在命令注入漏洞,经过身份验证的远程攻击者可以访问Web GUI以通过特制的HTTP请求执行未经授权的代码或命令。
Fortinet FortiTester命令注入漏洞(CVE-2022-35845):FortiTester GUI和API存在命令注入漏洞,经过身份验证的攻击者可以利用该漏洞在shell中执行任意命令
影响范围:
Fortinet FortiADC命令注入漏洞(CVE-2022-39947)
受影响版本:7.0.0 ≤ FortiADC ≤ 7.0.26.2.0 ≤ FortiADC ≤ 6.2.36.1.0 ≤ FortiADC ≤ 6.1.66.0.0 ≤ FortiADC ≤ 6.0.45.4.0 ≤ FortiADC ≤ 5.4.5
Fortinet FortiTester命令注入漏洞(CVE-2022-35845)受影响版本:FortiTester 7.1.0FortiTester 7.0.x4.0.0 ≤ FortiTester ≤ 4.2.02.3.0 ≤ FortiTester ≤ 3.9.1
修复建议:
及时测试并升级到最新版本或升级版本。
来源:安恒信息CERT
3.Apache Kylin命令注入漏洞
漏洞介绍:
Apache Kylin™是一个开源的分布式分析引擎,提供Hadoop之上的SQL查询接口及多维分析(OLAP)能力以支持超大规模数据,最初由eBay Inc. 开发并贡献至开源社区。它能在亚秒内查询巨大的Hive表。
漏洞危害:
CVE-2022-43396: 命令注入漏洞该漏洞存在于Apache Kylin中,是一个命令注入漏洞。原因在 CVE-2022-24697 的修复中的黑名单并不完善,攻击者通过绕过该黑名单中的限制内容即可发起攻击。该漏洞允许攻击者通过kylin.engine.spark-cmd参数来执行恶意命令并接管服务器。
CVE-2022-44621: 命令注入漏洞该漏洞存在于Apache Kylin中,是一个命令注入漏洞。由于系统Controller未验证参数,攻击者可以通过HTTP Request 进行命令注入攻击。
影响范围:
Apache Kylin 2.x,3.x,4.x < 4.0.3
修复方案:
及时测试并升级到最新版本或升级版本。
来源:360CERT
4.IBM DB2跨站请求伪造漏洞
漏洞介绍:
IBM DB2是美国国际商业机器(IBM)公司的一套关系型数据库管理系统。该系统的执行环境主要有UNIX、Linux、IBMi、z/OS以及Windows服务器版本。
漏洞危害:
IBM DB2存在跨站请求伪造漏洞,攻击者可利用该漏洞执行从网站信任的用户传输的恶意和未经授权的操作。
漏洞编号:
CVE-2022-41296
影响范围:
IBM Db2 Warehouse on Cloud Pak for Data 3.5IBM Db2 Warehouse on Cloud Pak for Data 4.0IBM Db2 on Cloud Pak for Data 3.5IBM Db2 on Cloud Pak for Data 4.0IBM Db2 on Cloud Pak for Data 4.5IBM Db2 Warehouse on Cloud Pak for Data 4.5
修复方案:
及时测试并升级到最新版本或升级版本。
来源:CNVD
专注渗透测试技术
全球最新网络攻击技术
END
相关文章
雷神众测漏洞周报2023.1.3-2023.1.8-世界观点
以下内容,均摘自于互联网,由于传播,利用此文所提供的信息而造成的任何直接或间接的后果和损失,均由使用者本人负责,雷神众测以及文章作者
平安节吃苹果范文(通用14篇)_最资讯
平安节吃苹果范文第一篇1、总有些事情是无法忘掉,总有些人在身边萦绕,相逢是那样奇妙,生活是这么美好,工作固然重要,心情也要调好,在平安
1月10日朗进科技现1笔折价31.03%的大宗交易 合计成交200.86万元:天天日报
大宗交易成交价格16 6元,相对当日收盘价折价31 03%,成交12 1万股,成交金额200 86万元,买方营业部为招商证券股份有限公司济南经十路证券营
这次内蒙古呼伦贝尔女职工产假是多少天?
正常产假98天,最多可休128天。法律规定:《内蒙古人口与计划生育条例》第四十一条公民比法定婚龄推迟三年以上初婚者为晚婚。已婚妇女比法定婚
环球今头条!花鸭借钱贷款逾期1个月拖欠多久上征信系统
网贷逾期一般会上征信,有些借贷机构在用户逾期后一天后就会上报给征信机构,而有些借贷机构则是会在几天后上报给征信机构,因为有些借贷机构可
视讯!未按劳动合同约定履行该怎么办那?
可以解除劳动合同是第三十八条第二项的规定,是“未及时足额支付劳动报酬的”,而可以立即解除劳动合同的前题条件是:“用人单位以暴力、未...
冻猪白条供货协议合同范本(推荐11篇):环球热推荐
冻猪白条供货协议合同范本第一篇甲方:乙方:甲乙双方本着诚信经营,互惠合作的原则,经双方协商自愿达成以下协议。一、甲方所需的鲜猪肉由乙
环球快消息!属兔的2023年多少岁兔年的财运怎么样
属兔的人心思都比较细腻,他们性格温和、善解人意,会尊重别人的想法和感受,而且经常帮助弱小;但他们胆子不大,极度缺乏安全感,在感情中很
天天快资讯丨关晓彤鹿晗生日事件:被嘲是联手炒作,展露出流量明星最后的羞耻
对于吃瓜群众而言,每天喝着奶茶上网吃瓜,就是双倍的快乐。今天看看那个明星演什么戏了,明天看看那个偶像出新图了等等。都可以成为吃瓜群众
ALIENWARE外星人四款游戏本齐发 设计升级18英寸巨屏回来了!
北京时间1月6日,ALIENWARE外星人发布四款游戏本新品——ALIENWARE m18和m16、ALIENWARE x16和x14 R2,还全面优化了AWC
京津冀及周边地区燃煤电厂煤场无组织颗粒物不同控制情景下时空变化特征
京津冀及周边地区燃煤电厂煤场无组织颗粒物不同控制情景下时空变化特征摘要:为支撑京津冀及周边地区燃煤电厂煤场无组织颗粒物深度治理工作,
吃猕猴桃会过敏吗?|环球短讯
属于过敏的体质有可能会对猕猴桃产生过敏的,因为猕猴桃也属于容易过敏的食物,最好可以到正规医院做个过敏原的检测,平时不要接触过敏原,如
暖意渐浓、曙光在前——中国民航复苏观察
新华社北京1月7日电题:暖意渐浓、曙光在前——中国民航复苏观察新华社记者周圆航班“飞起来”,物流“动起来”,市场“热起来”……岁末年...
火箭科学和官僚主义——2022年国外航天发射的一些事件回顾
火箭科学和官僚主义——2022年国外航天发射的一些事件回顾作者:JeffFoust(thespacerview),编译:杨庭辉就发射活动而言,2022年是
你的头发一根都不许掉!德国这款变态洗发皂,7天发量暴增!20天浓密乌黑!!!!_世界热消息
男神女神的模样有千万种但有一点一定是标配那就是拥有一头浓密的乌黑秀发它是女生颜值翻倍的利器也是男生形象加分的杀手锏可随着
房地产备案过低房东未取得网签合同怎么办:焦点热闻
第一种方法:协商解除交易双方在签订合同之后,未履行或者未完全履行之前,双方达成一致和平解决,签订解约协议即可。如果涉及到中介,那么需
焦点报道:国际锐评丨企图打“病毒牌”的美国政客应该听听科学理性的声音
“这不仅不会对限制病毒传播产生多大影响,也无助于全面评估全球病例增加带来的影响。”6日,美国传染病学的权威机构——美国传
冬日里的“下身失踪”有哪些优势?如何穿出大长腿?
大城市的女生们总是走在时尚最前沿,就比如上海姑娘的冬日穿搭,居然还在玩“下身失踪”?不得不说,自从这种穿法火起来以后,就一直备受年...
触摸南疆发展的强劲脉搏——新疆和田地区一线调研行
光明日报记者尚杰李慧光明日报通讯员王金晶新疆一盘棋,南疆是棋眼。而和田,则被认为是“棋眼”的关键。南依昆仑、北临塔克拉玛干沙漠的和...
资讯:高虹安如何挖大秘宝?谢龙介提窝里反策略
台湾民众党籍新竹市长高虹安5日揭露新竹棒球场有疑似偷工减料重大问题,包括浅层土挖到废弃砖头、甚至废电线,引发各界哗然。中国国民党台南市
武汉十岁子女抚养费收费标准 全球微资讯
1、离婚孩子抚养费标准是:子女抚育费的数额,可根据子女的实际需要、父母双方的负担能力和当地的实际生活水平确定。有固定收入的,抚育费一般
抓住侥幸心理 引诱年轻人参赌的特大网络赌博团伙落网|每日动态
昆明市公安局治安管理支队三大队侦查员:张某邀约了想挣快钱的人,他主要负责的就是和境外的赌博团伙进行联系
南汇区九岁小孩抚养费明细-焦点滚动
1、子女抚养费包括抚养子女所需要的一切费用,如生活费、医疗费、教育费等。但在司法实践中,有的混淆抚养费的概念和范围,把医疗费和教育费与
焦点观察:为何国家选择冬天解封?方舱志愿者说出真相,国家用心良苦
2002年非典在我国的广东发生,不断地传播扩散,最终更是遍布全球,至今都记得那时候我们同样也是每天带着口罩,而那时候的口罩还是里面塞着棉
降息降准可期 2023年货币政策前瞻
一季度降息可期过去一年,央行也多次强调,要稳步推进利率市场化改革,疏通货币政策传导渠道,切实降低社会融资成本。“市场化改革”关键在...
1月05日擒牛姐盘中提示
今天,虽然指数表现不错,但其实操作难度很大一个上午就已经轮动了N个方向了,如大消费、医药、教育、赛道等我们跟踪的几个方向:数字经济英F
环球讯息:“阳康”后运动怕猝死?来看专家详细解答!
"14岁少年‘阳康’后打篮球猝死 " "女子‘阳康’后健身引发心肌炎病危 "……最近类似新闻屡见不鲜,朋友圈里也或多或少流传着这样的故...
法国总统马克龙:希望瑞典、芬兰尽快加入北约
据俄罗斯卫星通讯社报道,法国总统马克龙3日表示,希望芬兰和瑞典尽快加入北约。据报道,当地时间3日,马克龙在法国巴黎接待了瑞典首相乌尔夫
广发网贷一万逾期十多天会被起诉吗
可能会。如果用户使用网贷消费之后出现了逾期,并且经过网贷机构和第三方的催收人员催缴欠款无果之后,网贷公司可能就会向法院提起诉讼。网贷