Apache Fineract远程代码执行漏洞风险提示(CVE-2022-44635)

admin 2022年12月2日04:30:58评论38 views字数 707阅读2分21秒阅读模式
Apache Fineract远程代码执行漏洞风险提示(CVE-2022-44635)


漏洞公告

近日,安恒信息CERT监测到Apache官方发布了安全公告,修复Apache Fineract远程代码执行漏洞(CVE-2022-44635),经过身份验证的攻击者可以利用该漏洞在远程服务器上上传恶意文件并执行任意代码。目前官方已发布安全版本,建议受影响的用户尽快采取安全措施。


参考链接:https://lists.apache.org/thread/t8q6fmh3o6yqmy69qtqxppk9yg9wfybg



影响范围


受影响版本:

Apache Fineract < 1.8 .1


安全版本:

Apache Fineract >= 1.8 .1



漏洞描述


Apache Fineract是用于金融服务的开源软件,旨在实现核心银行系统平台化建设。
Apache Fineract远程代码执行漏洞(CVE-2022-44635):该漏洞存在于 Apache Fineract 的文件上传组件中,该组件由于对上传路径处理不当存在目录穿越问题,经过身份验证的攻击者可以利用该漏洞在远程服务器上上传恶意文件并执行任意代码。
细节是否公开 POC状态 EXP状态 在野利用
未公开 未公开
未发现






缓解措施


高危:目前漏洞细节和测试代码暂未公开,但恶意攻击者可以通过补丁对比分析出漏洞触发点,建议受影响用户及时更新至安全版本。


官方建议:

1、目前官方已发布安全版本修复上述漏洞,建议受影响的用户升级至安全版本。

下载链接:

https://github.com/apache/fineract/releases




安恒信息CERT

2022年12月

原文始发于微信公众号(安恒信息CERT):Apache Fineract远程代码执行漏洞风险提示(CVE-2022-44635)

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年12月2日04:30:58
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   Apache Fineract远程代码执行漏洞风险提示(CVE-2022-44635)http://cn-sec.com/archives/1440251.html

发表评论

匿名网友 填写信息