01 IoT智能設(shè)備漏洞
QNAP NAS TFTP 跨站腳本漏洞
漏洞代號(hào):CVE-2021-38674
漏洞類型:跨站腳本漏洞
漏洞介紹:
QNAP Systems QUTS Hero是中國(guó)威聯(lián)通(QNAP Systems)公司的一款用于管理文件的NAS操作系統(tǒng)�����。
QNAP QTS、QuTS Hero��、QuTScloud中的 TFTP 服務(wù)器存在反射型跨站腳本漏洞����。遠(yuǎn)程攻擊者可利用該漏洞注入惡意代碼。
影響產(chǎn)品/版本:
QNAP QNAP QTS < 4.5.4.1787 build 20210910
QNAP QNAP QuTS Hero < h4.5.4.1771 build 20210825
QNAP QNAP QuTScloud < c4.5.7.1864
TOTOLINK A3100R 存在命令執(zhí)行漏洞
漏洞編號(hào):CVE-2022-29640
漏洞類型:命令執(zhí)行
漏洞介紹:
TOTOLINK A3100R是一款無線路由器�。
TOTOLINK A3100R存在命令執(zhí)行漏洞����,攻擊者可利用該漏洞獲取服務(wù)器控制權(quán)�。
影響產(chǎn)品/版本:
TOTOLINK A3100R V4.1.2cu.5050
TOTOLINK EX200 命令注入漏洞
漏洞編號(hào):CVE-2021-43711
漏洞類型:命令注入
漏洞介紹:
TotoLink Ex200是TotoLink公司的一款2.4G無線N范圍擴(kuò)展器。
ToTolink Ex200 4.0.3c.7646_B20201211版本的某個(gè)文件存在命令注入漏洞����。未經(jīng)身份認(rèn)證的攻擊者可利用該漏洞通過構(gòu)造參數(shù)名稱執(zhí)行命令。
影響產(chǎn)品/版本:
TOTOLINK EX200 4.0.3c.7646_B20201211
02 其他熱門漏洞
NO.1 Fastjson 反序列化遠(yuǎn)程代碼執(zhí)行漏洞
漏洞編號(hào):N/A
漏洞信息:
Fastjson由阿里巴巴開發(fā)的開源JSON解析庫�,由JAVA語言編寫。
Fastjson官方發(fā)布公告稱在1.2.80及以下版本中存在新的反序列化風(fēng)險(xiǎn)����,在特定條件下可繞過默認(rèn)autoType關(guān)閉限制,從而反序列化有安全風(fēng)險(xiǎn)的類��,攻擊者利用該漏洞可實(shí)現(xiàn)在目標(biāo)機(jī)器上的遠(yuǎn)程代碼執(zhí)行���。
該漏洞影響范圍較大,建議廣大用戶及時(shí)自查修復(fù)���。
官方已經(jīng)發(fā)布修復(fù)補(bǔ)?����。篽ttps://github.com/alibaba/fastjson/releases
影響版本:
Fastjson ≤ 1.2.80
NO.2 ZOOM CLIENT FOR MEETINGS 解析漏洞
漏洞編號(hào):CVE-2022-22784
漏洞信息:
ZOOM Client是美國(guó)ZOOM公司的一款支持多種平臺(tái)的視頻會(huì)議客戶端應(yīng)用程序���。
Zoom Client for Meetings 5.10.0之前版本存在安全漏洞���,該漏洞源于程序 XML 解析不正確。攻擊者可利用該漏洞破壞當(dāng)前的 XMPP 環(huán)境�����,并創(chuàng)建新的環(huán)境以允許客戶端執(zhí)行任意操作��。
影響版本:
Zoom Client for Meetings < 5.10.0
NO.3 Apache James 命令注入漏洞
漏洞編號(hào):CVE-2021-38542
漏洞信息:
Apache James����,又名Java Apache Mail Enterprise Server或其變體,是完全用Java編寫的開源SMTP和POP3郵件傳輸代理和NNTP新聞服務(wù)器��。James由Apache Software Foundation的貢獻(xiàn)者維護(hù)�����。
Apache James 3.6.1之前版本存在命令注入漏洞���。攻擊者可利用該漏洞通過中間人命令注入攻擊導(dǎo)致敏感信息泄漏�。
影響產(chǎn)品/版本:
Apache James < 3.6.1
03 安全事件
Mozilla 修復(fù)了在 Pwn2Own 上
被利用的 Firefox、Thunderbird 零日漏洞
2022年5月20日���,Mozilla 發(fā)布了多個(gè)產(chǎn)品的安全更新��,以解決 Pwn2Own Vancouver 2022 黑客競(jìng)賽期間利用的零日漏洞���。
如果被利用,這兩個(gè)關(guān)鍵漏洞可以讓攻擊者在運(yùn)行易受攻擊版本的 Firefox��、Firefox ESR�、Firefox for Android 和 Thunderbird 的移動(dòng)和桌面設(shè)備上執(zhí)行 JavaScript 代碼。
Firefox 100.0.2����、Firefox ESR 91.9.1、Firefox for Android 100.3 和Thunderbird 91.9.1中已修復(fù)零日漏洞��。
第一個(gè)漏洞是頂級(jí)等待實(shí)現(xiàn)中的原型污染(CVE-2022-1802)��,它可以讓攻擊者使用原型污染破壞 JavaScript 中 Array 對(duì)象的方法����,以在特權(quán)上下文中執(zhí)行 JavaScript 代碼�。
第二個(gè) (CVE-2022-1529) 允許攻擊者在原型污染注入攻擊中濫用Java對(duì)象索引不正確的輸入驗(yàn)證�。
參考文章:https://www.mozilla.org/en-US/security/advisories/mfsa2022-19/q
文章來源:天防安全
在線咨詢
在線咨詢
0371-63319761