Sophos 修复位于 Sophos Web Appliance 设备中的三个漏洞

代码卫士 2023-04-11 17:22

聚焦源代码安全，网罗国内外最新资讯！

作者：Pierluigi Paganini

编译：代码卫士

Sophos 修复了位于 Sophos Web Appliance 中的三个漏洞，其中一个是可导致代码执行的严重漏洞 CVE-2023-1671（CVSS 评分9.8）。

CVE-2023-1671 是一个预认证命令注入漏洞，位于 warn-proceed 句柄中，影响早于 4.3.10.4 的版本。

Sophos 公司还修复了一个高危代码执行漏洞CVE-2022-4934，他是位于异常工具中的认证后命令注入漏洞，可导致管理员执行任意代码。第三个漏洞是中危的XSS 漏洞CVE-2020-36692，可用于在受害者浏览器中执行 JavaScript 代码。该攻击者可诱骗受害者在登录 Sophos Web Appliance的同时，向受攻击者控制的网站上提交恶意表单，从而触发漏洞。

这些漏洞是由外部安全研究员发现并通过 Sophos 漏洞奖励计划提交的。Sophos Web Appliance 将在2023年7月20日到达生命周期。该公司建议客户通过 Sophos Firewall 替换设备。

---

代码卫士试用地址：
https://codesafe.qianxin.com

开源卫士试用地址：https://oss.qianxin.com

推荐阅读

奇安信入选全球《软件成分分析全景图》代表厂商

速修复！Sophos 防火墙中的RCE 0day已遭利用

Sophos 修复严重的防火墙 RCE 漏洞

Sophos 和 ReversingLabs 公开含2000万个 PE 文件的数据集

Sophos 修复 Cyberoam OS 中的 SQL 注入漏洞

Sophos 紧急修复已遭利用的防火墙 0day

原文链接

Sophos patches three issues in the Sophos Web Security appliance, one of them rated as critical

题图：Pixabay License

本文由奇安信编译，不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

觉得不错，就点个 “
在看
” 或 “
赞
” 吧~