雷神众测漏洞周报2022.04.18-2022.04.24-4
雷神众测漏洞周报2022.04.18-2022.04.24-4
雷神众测 雷神众测 2022-04-25 15:38
声明
以下内容,均摘自于互联网,由于传播,利用此文所提供的信息而造成的任何直接或间接的后果和损失,均由使用者本人负责,雷神众测以及文章作者不承担任何责任。雷神众测拥有该文章的修改和解释权。如欲转载或传播此文章,必须保证此文章的副本,包括版权声明等全部内容。声明雷神众测允许,不得任意修改或增减此文章内容,不得以任何方式将其用于商业目的。
目录
1.Jira 身份验证绕过漏洞
2.Django SQL注入漏洞
3.Google fscrypt命令注入漏洞
4.Microsoft Windows Remote Procedure Call Runtime远程代码执行漏洞
漏洞详情
1.Jira 身份验证绕过漏洞
漏洞介绍:
JIRA是Atlassian公司出品的项目与事务跟踪工具,被广泛应用于缺陷跟踪、客户服务、需求收集、流程审批、任务跟踪、项目跟踪和敏捷管理等工作领域。
漏洞危害:
Jira 和 Jira Service Management 容易受到其 Web 身份验证框架 Jira Seraph 中的身份验证绕过的攻击。未经身份验证的远程攻击者可以通过发送特制的 HTTP 请求来利用此漏洞,以使用受影响的配置绕过 WebWork 操作中的身份验证和授权要求。
漏洞编号:
CVE-2022-0540
影响范围:
Jira:
-
Jira所有版本 < 8.13.18
-
Jira 8.14.x、8.15.x、8.16.x、8.17.x、8.18.x、8.19.x
-
Jira 8.20.x < 8.20.6
-
Jira 8.21.x
Jira Service Management:
-
Jira Service Management所有版本 < 4.13.18
-
Jira Service Management 4.14.x、4.15.x、4.16.x、4.17.x、4.18.x、4.19.x
-
Jira Service Management 4.20.x < 4.20.6
-
Jira Service Management 4.21.x
修复方案:
及时测试并升级到最新版本
来源:360CERT
2.Django SQL注入漏洞
漏洞介绍:
Django是Django基金会的一套基于Python语言的开源Web应用框架。该框架包括面向对象的映射器、视图系统、模板系统等。
漏洞危害:
Django 2.2.28 版本之前的 2.2 版本、3.2.13 版本之前的 3.2 版本、4.0.4 版本之前的 4.0 版本存在SQL注入漏洞,该漏洞源于QuerySet.explain() 中发现了SQL注入问题。目前没有详细的漏洞细节提供。
漏洞编号:
CVE-2022-28347
影响范围:
Django Django >=2.2,<2.2.28
Django Django >=3.2,<3.2.13
Django Django >=4.0,<4.0.4
修复建议:
及时测试并升级到最新版本或升级版本
来源:
CNVD
3.Google fscrypt命令注入漏洞
漏洞介绍:
Google Fscrypt是美国谷歌(Google)公司的一个开源高级工具。用于管理 Linux 本机文件系统加密。
漏洞危害:
Google fscrypt存在命令注入漏洞,攻击者可利用该漏洞在特定情况下提升权限。
漏洞编号:
CVE-2022-25328
影响范围:
Google fscrypt <0.3.3
修复建议:
及时测试并升级到最新版本或升级版本
来源:
CNVD
4.Microsoft Windows Remote Procedure Call Runtime远程代码执行漏洞****
漏洞介绍:
Microsoft Windows Remote Procedure Call Runtime是美国微软(Microsoft)公司的一种用于创建分布式客户端/服务器程序的技术。
漏洞危害:
Microsoft Windows Remote Procedure Call Runtime存在远程代码执行漏洞。该漏洞源于外部输入数据构造代码段的过程中,网络系统或产品未能正确过滤其中的特殊元素。攻击者可利用此漏洞导致任意代码执行。
漏洞编号:
CVE-2022-26809
影响范围:
Microsoft Windows Server 2008 SP2
Microsoft Windows 7 SP1
Microsoft Windows 8.1
Microsoft Windows RT 8.1 SP0
Microsoft Windows Server 2012 R2
Microsoft Windows 10 1607
Microsoft Windows Server 2016
Microsoft Windows Server 2012
Microsoft Windows 7 无
Microsoft Windows 10
Microsoft Windows Server 2019
Microsoft Windows 10 1809
Microsoft Windows Server 2008 R2
Microsoft Windows 10 1809
Microsoft Windows 10 1909
Microsoft Windows 10 20H2
Microsoft Windows Server2008
Microsoft Windows Server 20H2
Microsoft Windows 10 21H1
Microsoft Windows Server 2022
Microsoft Windows 11
Microsoft Windows 10 21H2
修复建议:
及时测试并升级到最新版本
来源:CNVD
专注渗透测试技术
全球最新网络攻击技术
END