GA黄金甲

首页 > 技术支持 > 升级布告 > 每周升级布告

每周升级布告-2022-08-03

颁布功夫 2022-08-03

新增事务

事务名称：	HTTP_提权攻击_Spring-Data-MongoDB_SpEL表白式注入_号令执行
安全类型：	安全缝隙
事务描述：	SpringDataforMongoDB是SpringData项主张一部门，该项目旨在为新的数据存储提供熟悉和一致的基于Spring的编程模型，同时保留存储的特定特点和职能。6月20日，VMware颁布安全布告，建复了SpringDataMongoDB中的一个SpEL表白式注入缝隙（CVE-2022-22980），该缝隙的CVSSv3评分为8.2。SpringDataMongoDB利用法式在对蕴含查问参数占位符的SpEL表白式使用@Query或@Aggregation注解的查问步骤进行值绑按时，若是输入未被过滤，则容易受到SpEL注入攻击。
更新功夫：	20220803

事务名称：	HTTP_文件操作攻击_奇安信天擎_文件上传
安全类型：	安全缝隙
事务描述：	奇安信天擎终端安全治理系统是奇安信的新一代终端安全防御系统。其中存在文件上传缝隙，攻击者能够上传恶意文件至指定目录，获取指标系统权限。
更新功夫：	20220803

事务名称：	HTTP_文件操作攻击_泛微OA-Ecology-template-import_文件上传
安全类型：	安全缝隙
事务描述：	泛微是由泛微网络开发的OA系统。其中/api/mobilemode/admin/template/import接口存在缝隙，攻击者可利用该缝隙上传恶意压缩文件，植入webshell，获取指标系统权限。
更新功夫：	20220803

事务名称：	HTTP_文件操作攻击_泛微OA-Ecology_app-import_文件上传
安全类型：	安全缝隙
事务描述：	泛微是由泛微网络开发的OA系统。其中/api/mobilemode/admin/app/import接口存在肆意文件上传缝隙，攻击者可利用该缝隙上传恶意压缩文件，植入webshell，获取指标系统权限。
更新功夫：	20220803

事务名称：	HTTP_文件操作攻击_泛微OA-Ecology-skin-import_文件上传
安全类型：	安全缝隙
事务描述：	泛微是由泛微网络开发的OA系统。其中/api/mobilemode/admin/template/import接口存在缝隙，攻击者可利用该缝隙上传恶意压缩文件，植入webshell，获取指标系统权限。
更新功夫：	20220803

事务名称：	TCP_提权攻击_Apache-Commons-Configuration_代码执行[CVE-2022-33980][CNNVD-202207-428]
安全类型：	安全缝隙
事务描述：	ApacheCommonsConfiguration是用于治理配置文件的组件，在2.8以前的部门版本中支持了多种变量取值方式，蕴含javax.script、dns和url，导致能够执行肆意代码或进行网络接见。
更新功夫：	20220803

批改事务

事务名称：	HTTP_提权攻击_Apache_Shiro_v1.7.1以下_非授权接见[CVE-2020-17523][CNNVD-202102-238]
安全类型：	安全缝隙
事务描述：	ApacheShiro是一个壮大且易用的Java安全框架，它能够用来执行身份验证、授权、密码和会话治理。目前常见集成于各类利用中进行身份验证，授权等。对于ApacheShiro1.7.1之前的版本，当将ApacheShiro与Spring节造器一路使用时，攻击者特造要求可能会导致身份验证绕过。
更新功夫：	20220803

事务名称：	HTTP_提权攻击_Elasticsearch_未授权接见
安全类型：	安全缝隙
事务描述：	ElasticSearch是一个基于Lucene的搜索服务器。它提供了一个散布式多用户能力的全文搜索引擎，基于RESTfulweb接口。Elasticsearch可能存在未授权接见缝隙。该缝隙导致，攻击者能够占有Elasticsearch的所有权限�Ｄ芄欢允萁兴烈獠僮�。业务系统将面对敏感数据泄露、数据迷失、数据遭到粉碎甚至遭到攻击者的勒索。
更新功夫：	20220803

上一篇下一篇

7*24幼时服务热线

400-624-3900

04152424g9z1

官方微信

12145445s033

官方微博

司法申明

Copyright ? GA黄金甲版权所有京ICP备05032414号京公网安备11010802024551号

【网站地图】