根据统计,本周(2022.8.29~2022.9.4)CNNVD接报漏洞358个,信息技术产品漏洞(通用型漏洞)86个,网络信息系统漏洞(事件型漏洞)272个;CNNVD接报漏洞预警105份,其中华云安报送4份,预警报送数量持续位居前列!
本周重点关注漏洞包括:CVE-2022-36804-Atlassian Bitbucket 命令注入漏洞、CVE-2022-2992-GitLab 远程代码执行漏洞、CVE-2022-2865-GitLab 远程代码执行漏洞、CVE-2022-37021-Apache Geode 反序列化漏洞、Apache OFBiz 远程代码执行漏洞。漏洞影响范围较广,华云安建议相关用户做好资产自查与预防工作。
01
CVE-2022-36804-Atlassian Bitbucket 命令注入漏洞
威胁等级:超危
漏洞描述:
2022年8月31日,华云安思境安全团队发现 Atlassian 官方发布安全更新,披露了 Bitbucket 组件中存在一处命令注入漏洞。Atlassian Bitbucket Server 是一款 Git 代码托管解决方案,该方案能够管理并审查代码,具有差异视图、JIRA 集成和构建集成等功能。该漏洞是于允许对公共或私有 Bitbucket 库有读取权限的远程攻击者通过发送恶意的HTTP请求从而执行任意代码攻击。
情报来源:
https://jira.atlassian.com/browse/BSERV-13438
02
CVE-2022-2992-GitLab
远程代码执行漏洞
威胁等级:超危
漏洞描述:
2022年8月31日,华云安思境安全团队发现 GitLab 官方发布安全更新,披露了 GitLab 组件中存在一处远程代码执行漏洞。GitLab 是一个用于仓库管理系统的开源项目,使用 Git 作为代码管理工具,可通过 Web 界面访问公开或私人项目。该漏洞是由于允许经过身份验证的攻击者通过从 GitHub API 端点导入来实现远程代码执行。
情报来源:
https://about.gitlab.com/releases/2022/08/30/critical-security-release-gitlab-15-3-2-released/#remote-command-execution-via-github-import
03
CVE-2022-2865-GitLab
远程代码执行漏洞
威胁等级:高危
漏洞描述:
2022年8月31日,华云安思境安全团队发现 GitLab 官方发布安全更新,披露了 GitLab 组件中存在一处远程代码执行漏洞。GitLab 是一个用于仓库管理系统的开源项目,使用 Git 作为代码管理工具,可通过 Web 界面访问公开或私人项目。该漏洞是是由于设置标签颜色功能的漏洞引起,成功利用此漏洞的攻击者可以在客户端代表受害者执行任意操作。
情报来源:
https://about.gitlab.com/releases/2022/08/30/critical-security-release-gitlab-15-3-2-released
04
CVE-2022-37021-Apache Geode
反序列化漏洞
威胁等级:超危
漏洞描述:
2022年8月31日,华云安思境安全团队发现 Apache 官方发布安全更新,披露了 Apache Geode 组件中存在一处反序列化漏洞。Apache Geode 是一套应用于分布式云架构中提供对数据密集型应用程序实时和一致访问数据的管理平台。该漏洞是由于在 Java 8 上通过 RMI 使用 JMX 时,存在不受信任的数据反序列化缺陷引起,成功李利用此漏洞的远程攻击者可造成远程代码执行攻击。
情报来源:
https://lists.apache.org/thread/qrvhmytsshsk5xcb68pwccw3y6m8o8nr
05
Apache OFBiz 远程代码执行漏洞
威胁等级:超危
漏洞描述:
2022年9月2日,华云安思境安全团队发现 Apache 官方发布安全更新,披露了 Apache OFBiz 组件中存在一处远程代码执行漏洞。Apache OFBiz是一套企业资源计划(ERP)系统,该系统提供了一整套基于 Java 的 Web 应用程序组件和工具。该漏洞是由于 Birt 存在错误触发,成功利用此漏洞的攻击者可以执行远程代码攻击。
情报来源:
https://lists.apache.org/thread/bvp3sczqq863lxr1wh7wjvdtjbkcwspq
华云安
华云安是一家深耕于网络空间安全领域的高新技术企业,专注于漏洞研究、攻防对抗、产品研发、安全服务;致力于对主动防御、情报协同、溯源反制能力进行融合创新,以攻击者视角构建攻击面管理安全能力平台,提供新一代网络安全对抗防御解决方案。公司服务于国家网络安全监管部门及金融、能源、教育、医疗等关键信息基础设施行业。
公司持续构建的原子化安全能力平台,秉承数据驱动、AI引领的理念,通过基于知识图谱的安全风险库和场景化人工智能引擎两大核心技术,结合不同的业务需求灵活组合安全能力,实现一个平台覆盖所有安全能力。
进入“华云安漏洞情报平台”查阅详情
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...