01 IoT智能設(shè)備漏洞
TOTOLINK A7100RU命令注入漏洞
漏洞代號(hào):CVE-2022-28583
漏洞類型:命令注入
漏洞介紹:
TOTOLINK A7100RU是中國Totolink公司的一個(gè)路由器。
該路由器中的多個(gè)接口存在命令注入漏洞。攻擊者可利用該漏洞執(zhí)行任意命令。
影響產(chǎn)品/版本:
TOTOLINK A7100RU (v7.4cu.2313_b20191024)
Cisco Small Business RV 系列
路由器遠(yuǎn)程代碼執(zhí)行漏洞
漏洞編號(hào):CVE-2022-20753
漏洞類型:遠(yuǎn)程代碼執(zhí)行
漏洞介紹:
Cisco Small Business RV系列是美國思科(Cisco)公司的路由器系列�����。
Cisco Small Business RV多款路由器的web管理界面存在遠(yuǎn)程代碼執(zhí)行漏洞����,該漏洞源于程序未對(duì)用戶輸入進(jìn)行正確驗(yàn)證�����。經(jīng)過身份認(rèn)證的遠(yuǎn)程攻擊者可利用該漏洞在受影響設(shè)備的上執(zhí)行任意代碼����。
影響產(chǎn)品/版本:
RV340 Dual WAN Gigabit VPN Routers
RV340W Dual WAN Gigabit Wireless-AC VPN Routers
RV345 Dual WAN Gigabit VPN Routers
RV345P Dual WAN Gigabit POE VPN Routers
Tenda AX12命令注入漏洞
漏洞編號(hào):CVE-2022-28561
漏洞類型:命令注入
漏洞介紹:
Tenda AX12是中國騰達(dá)公司的一款路由器����。
騰達(dá)ax12 22.03.01.21_cn路由器的httpd服務(wù)中的某個(gè)函數(shù)沒有進(jìn)行命令過濾����。攻擊者可以通過精心構(gòu)建的惡意代碼執(zhí)行命令����。
影響產(chǎn)品/版本:
Tenda ax12_firmware 22.03.01.21_cn
02 其他熱門漏洞
NO.1
F5 BIG-IP ICONTROL REST
身份驗(yàn)證繞過漏洞
漏洞編號(hào):CVE-2022-1388
漏洞信息:
F5 BIG-IP是美國F5公司的一款集成了網(wǎng)絡(luò)流量管理、應(yīng)用程序安全管理���、負(fù)載均衡等功能的應(yīng)用交付平臺(tái)�����。用戶可通過iControl REST與F5設(shè)備之間進(jìn)行輕量級(jí)��、快速的交互�����。未經(jīng)身份驗(yàn)證的攻擊者可使用控制界面進(jìn)行利用�����,通過BIG-IP管理界面或自身IP地址對(duì)iControl REST接口進(jìn)行網(wǎng)絡(luò)訪問��,實(shí)現(xiàn)執(zhí)行任意系統(tǒng)命令��,創(chuàng)建或刪除文件以及禁用服務(wù)����。CVSS評(píng)分為9.8,目前互聯(lián)網(wǎng)已有大量EXP公開�,建議相關(guān)用戶盡快采取措施進(jìn)行防護(hù)。
影響版本:
BIG-IP 16.1.0 – 16.1.2
BIG-IP 15.1.0 – 15.1.5
BIG-IP 14.1.0 – 14.1.4
BIG-IP 13.1.0 – 13.1.4
BIG-IP 12.1.0 – 12.1.6
BIG-IP 11.6.1 – 11.6.5
NO.2
Juniper Networks Junos OS
拒絕服務(wù)漏洞
漏洞編號(hào):CVE-2022-22160
漏洞信息:
Juniper Networks Junos OS是美國瞻博網(wǎng)絡(luò)(Juniper Networks)公司的一套專用于該公司的硬件設(shè)備的網(wǎng)絡(luò)操作系統(tǒng)��。該操作系統(tǒng)提供了安全編程接口和Junos SDK�����。
多個(gè)版本的Juniper Networks Junos OS存在拒絕服務(wù)漏洞���。該漏洞源于未對(duì)錯(cuò)誤條件進(jìn)行正確檢查����。未經(jīng)身份認(rèn)證的攻擊者可利用該漏洞可造成程序崩潰并拒絕服務(wù)��。
影響版本:
16.1 版本 16.1R1 和 18.4R3-S10 之前的更高版本;
19.1R2-S3����、19.1R3-S7 之前的 19.1 版本;
19.2R1-S8、19.2R3-S4之前的19.2版本;
19.3R3-S4 之前的 19.3 版本;
19.4R3-S5 之前的 19.4 版本;
20.1R3-S3 之前的 20.1 版本;
20.2R3-S3 之前的 20.2 版本;
20.3R3-S2 之前的 20.3 版本;
20.4R3 之前的 20.4 版本;
21.1R3 之前的 21.1 版本;
21.2R2 之前的 21.2 版本���。
此問題不影響 16.1R1 之前的瞻博網(wǎng)絡(luò) Junos OS 版本�。
NO.3
dotCMS api/content 任意文件上傳漏洞
漏洞編號(hào):CVE-2022-26352
漏洞信息:
dotCMS 是一個(gè)Java開發(fā)的開源且跨平臺(tái)的功能強(qiáng)大的內(nèi)容管理系統(tǒng)(CMS)����。
由于某個(gè)路徑存在未授權(quán)文件上傳漏洞,攻擊者可構(gòu)造惡意請(qǐng)求上傳webshell�,從而執(zhí)行任意代碼,控制服務(wù)器��。
影響產(chǎn)品/版本:
22.03����、5.3.8.10、21.06.7
03 安全事件
微軟多個(gè)漏洞安全更新通告
2022年05月10日�����,微軟發(fā)布了2022年5月份安全更新����,漏洞等級(jí):嚴(yán)重�����,漏洞評(píng)分:10.0��。
此次安全更新發(fā)布了75個(gè)漏洞的補(bǔ)丁����,主要覆蓋了以下組件:Visual Studio���、Microsoft Exchange Server����、Microsoft Office�、Windows Active Directory、Remote Desktop Client��、Windows Kernel��、Windows Server Service等��。其中包含8個(gè)嚴(yán)重漏洞�,66個(gè)高危漏洞,1個(gè)低危漏洞�����。這些漏洞中包含3個(gè)公開披露的0day漏洞�����,其中1個(gè)正在被積極利用����。
建議廣大用戶及時(shí)更新補(bǔ)丁。
此版本包含以下產(chǎn)品��、功能和角色的安全更新�����。
.NET and Visual Studio
Microsoft Exchange Server
Microsoft Graphics Component
Microsoft 本地安全認(rèn)證服務(wù)器 (lsasrv)
Microsoft Office
Microsoft Office Excel
Microsoft Office SharePoint
Microsoft Windows ALPC
遠(yuǎn)程桌面客戶端
角色:Windows 傳真服務(wù)
角色:Windows Hyper-V
自托管集成運(yùn)行時(shí)
Tablet Windows 用戶界面
Visual Studio
Visual Studio Code
Windows Active Directory
Windows 通訊簿
Windows 身份驗(yàn)證方法
Windows BitLocker
Windows 群集共享卷 (CSV)
Windows 故障轉(zhuǎn)移群集自動(dòng)化服務(wù)器
Windows Kerberos
Windows Kernel
LDAP - 輕量級(jí)目錄訪問協(xié)議
Windows Media
Windows 網(wǎng)絡(luò)文件系統(tǒng)
Windows NTFS
Windows 點(diǎn)對(duì)點(diǎn)隧道協(xié)議
Windows 打印后臺(tái)處理程序組件
Windows 推送通知
Windows 遠(yuǎn)程訪問連接管理器
Windows 遠(yuǎn)程桌面
Windows 遠(yuǎn)程過程調(diào)用運(yùn)行時(shí)
Windows Server 服務(wù)
Windows 存儲(chǔ)空間控制器
Windows WLAN 自動(dòng)配置服務(wù)
參考鏈接:https://msrc.microsoft.com/update-guide/releaseNote/2022-May
文章來源:天防安全
在線咨詢
在線咨詢
0371-63319761