雷神众测漏洞周报2022.10.31-2022.11.6
2022-11-7 15:3:32 Author: 雷神众测(查看原文) 阅读量:28 收藏

声明

以下内容,均摘自于互联网,由于传播,利用此文所提供的信息而造成的任何直接或间接的后果和损失,均由使用者本人负责,雷神众测以及文章作者不承担任何责任。

雷神众测拥有该文章的修改和解释权。如欲转载或传播此文章,必须保证此文章的副本,包括版权声明等全部内容。声明雷神众测允许,不得任意修改或增减此文章内容,不得以任何方式将其用于商业目的。

目录

1.Spring Security 身份认证绕过漏洞

2.Apache Commons Text远程代码执行漏洞

3.Apache SOAP XML外部实体注入漏洞

4.Microsoft Windows LDAP远程代码执行漏洞

漏洞详情

1.Spring Security 身份认证绕过漏洞

漏洞介绍:

Spring Security是一个能够为基于Spring的企业应用系统提供声明式的安全访问控制解决方案的安全框架。

漏洞危害:

Spring Security 身份认证绕过漏洞(CVE-2022-31692):受影响的Spring Security版本在某些特定情况下,恶意攻击者可通过使用FORWARD或INCLUDE进行转发,从而绕过授权规则,导致身份认证绕过。

漏洞编号:

CVE-2022-31692

影响范围:

5.7.0 <= Spring Security <= 5.7.4

5.6.0 <= Spring Security <= 5.6.8

修复方案:

及时测试并升级到最新版本或升级版本。

来源:安恒信息CERT

2.Apache Commons Text远程代码执行漏洞

漏洞介绍:

Apache Commons Text是美国阿帕奇(Apache)基金会的一个专注于字符串算法的库。

漏洞危害:

Apache Commons Text 1.5至1.9版本存在远程代码执行漏洞,该漏洞是由于不安全的插值默认缺陷造成的。攻击者可利用该漏洞在系统上执行任意代码。

漏洞编号:

CVE-2022-42889

影响范围:

Apache Apache Common Text >=1.5,<=1.9

修复建议:

及时测试并升级到最新版本或升级版本

来源:CNVD

3.Apache SOAP XML外部实体注入漏洞

漏洞介绍:

Apache SOAP是美国阿帕奇(Apache)基金会的用作客户端库来调用其他地方可用的SOAP服务,也可以用作服务器端工具来实现SOAP可访问服务。

漏洞危害:

Apache SOAP存在XML外部实体注入漏洞,该漏洞是由于RPCRouterServlet中配置薄弱的XML解析器引起的。攻击者可利用该漏洞读取任意文件。

漏洞编号:

CVE-2022-40705

影响范围:

Apache SOAP >=2.2

修复方案:

及时测试并升级到最新版本或升级版本。

来源:CNVD

4.Microsoft Windows LDAP远程代码执行漏洞

漏洞介绍:

Microsoft Windows是美国微软(Microsoft)公司的一种桌面操作系统。

漏洞危害:

Microsoft Windows LDAP存在远程代码执行漏洞,攻击者可利用该漏洞在目标主机上执行代码。

漏洞编号:

CVE-2022-29128

影响范围:

Microsoft Windows 7 SP1

Microsoft Windows 8.1

Microsoft Windows RT 8.1 SP0

Microsoft Windows Server 2012 R2

Microsoft Windows 10

Microsoft Windows 10 1607

Microsoft Windows Server 2016

Microsoft Windows Server 2008 R2 SP1

Microsoft Windows Server 2008 SP2

Microsoft Windows Server 2019

Microsoft Windows Server 2022 null

Microsoft Windows 10 1809

Microsoft Windows 10 1909

Microsoft Windows 10 20H2

Microsoft Windows Server 20H2

Microsoft Windows 10 21H1

Microsoft Windows Server 2012

Microsoft Windows 11

Microsoft Windows 10 21H2

修复方案:

及时测试并升级到最新版本或升级版本。

来源:CNVD

专注渗透测试技术

全球最新网络攻击技术

END


文章来源: http://mp.weixin.qq.com/s?__biz=MzI0NzEwOTM0MA==&mid=2652500447&idx=1&sn=5ab6c64a55f221eb50c5e5831d25c90a&chksm=f258526cc52fdb7a28e2ca15860baa33255a07eabad8c35c351ab22e01efdcde3f268204ea90#rd
如有侵权请联系:admin#unsafe.sh