声明
以下内容,均摘自于互联网,由于传播,利用此文所提供的信息而造成的任何直接或间接的后果和损失,均由使用者本人负责,雷神众测以及文章作者不承担任何责任。
雷神众测拥有该文章的修改和解释权。如欲转载或传播此文章,必须保证此文章的副本,包括版权声明等全部内容。声明雷神众测允许,不得任意修改或增减此文章内容,不得以任何方式将其用于商业目的。
目录
1.Apple多个高危漏洞
2.GitLab远程代码执行漏洞
3.XXL-JOB授权问题漏洞
4.Laravel反序列化漏洞
漏洞详情
1.Apple多个高危漏洞
漏洞介绍:
iOS是由苹果公司开发的移动操作系统,iPadOS是苹果公司基于iOS开发的移动端操作系统,Mac OS是苹果开发的运行于Macintosh系列的操作系统,WebKit是Safari和其他在iOS和iPadOS上浏览器的引擎。
漏洞危害:
Apple WebKit代码执行漏洞(CVE-2022-32893):此漏洞是Apple WebKit(Safari 和其他可以访问 Web 的应用程序使用的 Web 浏览器引擎)中的越界写入漏洞。Apple 表示,此漏洞将允许攻击者执行任意代码执行,并且由于它位于 Web 引擎中,因此很可能通过访问恶意制作的网站来远程利用。
Apple Kernel权限提升漏洞(CVE-2022-32894):此漏洞是操作系统内核中的越界写入漏洞。内核是作为操作系统核心组件运行的程序,在 macOS、iPadOS 和 iOS 中具有最高权限。应用程序(例如恶意软件)可以利用此漏洞以内核权限执行代码。由于这是最高权限级别,进程将能够在设备上执行任何命令,从而有效地完全控制它。
漏洞编号:
CVE-2022-32893
CVE-2022-32894
影响范围:
iOS < 15.6.1
iPadOS < 15.6.1
macOS Monterey < 12.5.1
修复方案:
目前漏洞已存在在野利用,官方已发布相关安全版本,建议使用相关产品的用户及时测试并升级到漏洞修复的版本。
来源:安恒信息CERT
2.GitLab远程代码执行漏洞
漏洞介绍:
GitLab是由GitLab Inc.开发,一款基于Git的完全集成的软件开发平台,且具有wiki和issue跟踪功能。使用Git作为代码管理工具,并在此基础上搭建起来的web服务。
漏洞危害:
GitLab远程代码执行漏洞(CVE-2022-2884):该漏洞允许经过身份验证的用户通过从GitHub API端点导入方式实现远程代码执行,成功利用此漏洞的攻击者可获得服务器权限。
漏洞编号:
CVE-2022-2884
影响范围:
GitLab CE/EE 15.3 版本:< 15.3.1
GitLab CE/EE 15.2 版本:< 15.2.3
GitLab CE/EE 15.1 版本:< 15.1.5
修复建议:
目前漏洞细节和测试代码暂未公开,但恶意攻击者可以通过补丁对比分析出漏洞触发点,建议受影响用户及时更新安全补丁。
来源:安恒信息CERT
3.XXL-JOB授权问题漏洞
漏洞介绍:
XXL-JOB是许雪里(XXL-JOB)社区的一款基于java语言的分布式任务调度平台。
漏洞危害:
XXL-JOB发布于2022年7月11日之后的所有版本存在授权问题漏洞,该漏洞源于其不安全的权限控制,攻击者可利用该漏洞使用低权限帐户执行管理功能的能力。
影响范围:
CVE-2022-36157
修复方案:
及时测试并升级到最新版本或升级版本。
来源:CNVD
4.Laravel反序列化漏洞
漏洞介绍:
Laravel是Laravel团队的一个Web应用程序框架。
漏洞危害:
Laravel 5.1版本存在反序列化漏洞,该漏洞源于应用程序在接收用户提交的序列化数据的不安全反序列化处理,攻击者可利用该漏洞可以远程发起攻击。
漏洞编号:
CVE-2022-2886
影响范围:
Laravel Laravel >=5.1.0,<=5.1.46
修复方案:
及时测试并升级到最新版本或升级版本。
来源:CNVD
专注渗透测试技术
全球最新网络攻击技术
END
如有侵权请联系:admin#unsafe.sh