CNVD-ID CNVD-2022-73265 公开日期 2022-11-03 危害级别 低 (AV:L/AC:L/Au:N/C:N/I:N/A:P) 影响产品 Apache containerd
CNVD-ID CNVD-2021-73171 公开日期 2022-11-03 危害级别 中 (AV:N/AC:H/Au:S/C:C/I:N/A:N) 影响产品 北京通达信科科技有限公司 通达OA 11.10 漏洞描述 通达OA(Office Anywhere网络智能办公系统)是由北京通达信科科技有限公司自主研发的协同办公自动化软件,是与中国企业管理实践相结合形成的综合管理办公平台。 通达OA存在SQL注入漏洞,攻击者可利用漏洞获取数据库敏感信息。 漏洞类型 通用型漏洞 参考链接 漏洞解决方案 厂商已提供漏洞修补方…
CNVD-ID CNVD-2022-70712 公开日期 2022-11-03 危害级别 高 (AV:N/AC:L/Au:N/C:C/I:C/A:C) 影响产品 北京通达信科科技有限公司 通达OA 漏洞描述 通达OA是一款移动智能办公应用。 通达OA存在文件上传漏洞,攻击者可利用该漏洞获取服务器控制权。 漏洞类型 通用型漏洞 参考链接 漏洞解决方案 厂商已提供漏洞修补方案,请关注厂商主页及时更新: https://www.tongda2000.com/ 厂商补丁 通达OA存在文件上传漏洞(CNVD-2022-707…
CNVD-ID CNVD-2022-70699 公开日期 2022-11-03 危害级别 高 (AV:N/AC:L/Au:N/C:C/I:N/A:N) 影响产品 深圳市蓝凌软件股份有限公司 蓝凌智慧协同平台 漏洞描述 深圳市蓝凌软件股份有限公司是国内知名的大平台OA服务商和国内领先的知识管理解决方案提供商,是专业从事组织的知识化咨询、软件研发、实施、技术服务的国家级高新技术企业。 深圳市蓝凌软件股份有限公司蓝凌智慧协同平台存在SQL注入漏洞,攻击者可利用该漏洞获取数据库敏感信息。 漏洞类型 通用型漏洞 参考链接 漏…
CNVD-ID CNVD-2022-73693 公开日期 2022-11-04 危害级别 中 (AV:N/AC:L/Au:N/C:P/I:N/A:N) 影响产品 Apache XML Graphics Batik 1.14 CVE ID CVE-2022-38398 漏洞描述 Apache XML Graphics Batik是美国阿帕奇(Apache)基金会的一套基于Java的主要用于处理SVG格式图像的应用程序。 Apache XML Graphics Batik存在服务器端请求伪造漏洞,该漏洞是由于Defau…
CNVD-ID CNVD-2022-73686 公开日期 2022-11-04 危害级别 高 (AV:N/AC:L/Au:N/C:C/I:C/A:C) 影响产品 Apache Apache Common Text >=1.5,
CNVD-ID CNVD-2022-73694 公开日期 2022-11-04 危害级别 高 (AV:N/AC:L/Au:N/C:C/I:N/A:N) 影响产品 Apache SOAP >=2.2 CVE ID CVE-2022-40705 漏洞描述 Apache SOAP是美国阿帕奇(Apache)基金会的用作客户端库来调用其他地方可用的SOAP服务,也可以用作服务器端工具来实现SOAP可访问服务。 Apache SOAP存在XML外部实体注入漏洞,该漏洞是由于RPCRouterServlet中配置薄弱的XML解…
漏洞名称 GitLab 安全漏洞 厂商 GitLab CNNVD编号 CNNVD-202211-1973 危害等级 —— CVE编号 CVE-2022-2904 漏洞类型 其他 收录时间 2022-11-02 更新时间 2022-11-03 漏洞描述 漏洞简介 GitLab是美国GitLab公司的一个开源的端到端软件开发平台,具有内置的版本控制、问题跟踪、代码审查、CI/CD(持续集成和持续交付)等功能。 GitLab CE/EE 15.3 版本到 15.3.4 版本,15.4 版本到 15.4.1 版本存在安全漏…
漏洞基本信息 漏洞名称 Splunk 安全漏洞 厂商 Splunk CNNVD编号 CNNVD-202211-1960 危害等级 —— CVE编号 CVE-2022-43572 漏洞类型 其他 收录时间 2022-11-02 更新时间 2022-11-03 漏洞描述 漏洞简介 Splunk是美国Splunk公司的一套数据收集分析软件。该软件主要用于收集、索引和分析及其所产生的数据,包括所有IT系统和基础结构(物理、虚拟机和云)生成的数据。 Splunk Enterprise存在安全漏洞,该漏洞源于应用程序没有正确控…
Apache Commons JXPath缓冲区溢出漏洞(CNVD-2022-73689) CNVD-2022-73689-AVACAUCIA 发布: 2022-11-04 修订: 2022-11-04 Apache Commons JXPath是美国阿帕奇(Apache)基金会的一种 XPath 1.0的基于 Java 的实现。 Apache Commons JXPath存在缓冲区溢出漏洞,该漏洞是由于解析XPath时堆栈缓冲区溢出引起的。远程攻击者可利用该漏洞造成拒绝服务。 漏洞利用/PoC 暂无可用Exp或P…
Apache XML Graphics Batik服务器端请求伪造漏洞(CNVD-2022-73690)Apache XML Graphics... CNVD-2022-73690-AVACAUCIA 发布: 2022-11-04 修订: 2022-11-04 Apache XML Graphics Batik是美国阿帕奇(Apache)基金会的一套基于Java的主要用于处理SVG格式图像的应用程序。 Apache XML Graphics Batik存在服务器端请求伪造漏洞,该漏洞是由于调用fop函数时的一个缺陷…
Wordpress插件Yooslider Yoo Slider跨站请求伪造漏洞 CVE-2022-27846 CNVD-2022-73697-AVACAUCIA 发布: 2022-11-04 修订: 2022-11-04 WordPress是一套使用PHP语言开发的博客平台。该平台支持在PHP和MySQL的服务器上架设个人博客网站。 Wordpress插件Yooslider Yoo Slider 2.0.0及之前版本中存在跨站请求伪造漏洞,攻击者可利用该漏洞创建或修改滑块。 漏洞利用/PoC 暂无可用Exp或PoC…
CNVD-ID CNVD-2022-73694 公开日期 2022-11-04 危害级别 高 (AV:N/AC:L/Au:N/C:C/I:N/A:N) 影响产品 Apache SOAP >=2.2 CVE ID CVE-2022-40705 漏洞描述 Apache SOAP是美国阿帕奇(Apache)基金会的用作客户端库来调用其他地方可用的SOAP服务,也可以用作服务器端工具来实现SOAP可访问服务。 Apache SOAP存在XML外部实体注入漏洞,该漏洞是由于RPCRouterServlet中配置薄弱的XML解…
CNVD-ID CNVD-2022-71964 公开日期 2022-11-04 危害级别 中 (AV:N/AC:L/Au:N/C:P/I:N/A:N) 影响产品 广州佰能信息科技有限公司 大型仪器共享管理系统 4.0.99.1 [通用版本] 漏洞描述 大型仪器共享管理系统是一家从事实验室信息化产品的设计、研发、生产及集成服务的公司。 广州佰能信息科技有限公司大型仪器共享管理系统存在逻辑缺陷漏洞,攻击者可利用该漏洞获取敏感信息。 漏洞类型 通用型漏洞 参考链接 漏洞解决方案 厂商已提供漏洞修补方案,请关注厂商主页及时…
CNVD-ID CNVD-2022-73688 公开日期 2022-11-04 危害级别 高 (AV:N/AC:L/Au:N/C:N/I:N/A:C) 影响产品 Apache commons jxpath
CNVD-ID CNVD-2022-73687 公开日期 2022-11-04 危害级别 高 (AV:N/AC:L/Au:N/C:N/I:N/A:C) 影响产品 Apache commons jxpath
CNVD-ID CNVD-2022-71359 公开日期 2022-11-04 危害级别 中 (AV:N/AC:L/Au:N/C:P/I:N/A:N) 影响产品 南京物橙信息技术有限公司 家常菜谱大全APP 37.7 漏洞描述 家常菜谱大全APP是一款美食菜谱软件。 南京物橙信息技术有限公司家常菜谱大全APP存在信息泄露漏洞,攻击者可利用该漏洞获取敏感信息。 漏洞类型 通用型漏洞 参考链接 漏洞解决方案 厂商已提供漏洞修补方案,请关注厂商主页及时更新: http://www.njwcxx.cn/ 厂商补丁 南京物橙…
CNVD-ID CNVD-2022-73689 公开日期 2022-11-04 危害级别 高 (AV:N/AC:L/Au:N/C:N/I:N/A:C) 影响产品 Apache commons jxpath
CNVD-ID CNVD-2022-73696 公开日期 2022-11-04 危害级别 高 (AV:A/AC:L/Au:S/C:C/I:C/A:C) 影响产品 Huawei B2368-57 V100R001C00 Huawei B2368-22 V100R001C00 Huawei B2368-66 V100R001C00 CVE ID CVE-2020-9199 漏洞描述 Huawei B2368-22等都是中国华为(Huawei)公司的一款高性能室外CPE终端。 Huawei多款产品存在命令注入漏洞,攻击者…
CNVD-ID CNVD-2022-73695 公开日期 2022-11-04 危害级别 高 (AV:N/AC:L/Au:N/C:C/I:N/A:N) 影响产品 Apache Airflow >=2.3.0,
CNVD-ID CNVD-2022-73690 公开日期 2022-11-04 危害级别 中 (AV:N/AC:L/Au:N/C:P/I:N/A:N) 影响产品 Apache XML Graphics Batik 1.14 CVE ID CVE-2022-38648 漏洞描述 Apache XML Graphics Batik是美国阿帕奇(Apache)基金会的一套基于Java的主要用于处理SVG格式图像的应用程序。 Apache XML Graphics Batik存在服务器端请求伪造漏洞,该漏洞是由于调用fop…
CNVD-ID CNVD-2022-73691 公开日期 2022-11-04 危害级别 高 (AV:N/AC:L/Au:N/C:N/I:N/A:C) 影响产品 Apache Kafka >=2.8.0,=3.0.0,=3.1.0,=3.2.0,
CNVD-ID CNVD-2022-73697 公开日期 2022-11-04 危害级别 中 (AV:N/AC:M/Au:N/C:N/I:P/A:N) 影响产品 WordPress Yooslider Yoo Slider plugin
唐朝实验室蜜网项目组 0x00 概述 redis是一款基于内存与硬盘的高性能数据库,在国内外被大型互联网企业、机构等广泛采用。但其一些安全配置经验却不如“LAMP”等成熟,所以很多国内企业、机构的redis都存在简单的空口令、弱密码等安全风险。 11月10号,国外安全研究者的一份文档展示,redis在未进行有效验证,并且服务器对外开启了SSH服务的前提下,攻击者有可能恶意登录服务器甚至进行提权操作(root权限) 通过与一些企业机构的沟通,已经发现了大量扫描与自动化攻击痕迹。 唐朝实验室蜜网项目组于11月10号的晚…
0x00 前言 WPAD 这项技术已经诞生了近十年的时间,其最大的优势就在于,在一个或多个局域网中,当需要为内网中的用户设置不同的代理服务器去连接互联网或者企业内网时,利用 WPAD 就能够灵活方便的进行配置。由于配置代理服务器的方式对于用户来说是透明的,无需用户手动操作的,因此,攻击者就可以利用这个特点使用 WPAD 进行内网的渗透。 利用 WPAD 进行内网渗透的技术已经出现了很多年了,一直没有变得像 ARP Spoof 等攻击方式那么流行,可能是由于常规的内网渗透中,如 Windows 域的渗透,攻击者只需拿…