雷神众测漏洞周报2020.12.14-2020.12.20-4

  • A+
所属分类:安全新闻

声明

以下内容,均摘自于互联网,由于传播,利用此文所提供的信息而造成的任何直接或间接的后果和损失,均由使用者本人负责,雷神众测以及文章作者不承担任何责任。

雷神众测拥有该文章的修改和解释权。如欲转载或传播此文章,必须保证此文章的副本,包括版权声明等全部内容。声明雷神众测允许,不得任意修改或增减此文章内容,不得以任何方式将其用于商业目的。


目录

1. Nexus Repository Manager 3 XML外部实体注入漏洞
2. Microsoft Outlook远程代码执行漏洞
3. 用友网络科技股份有限公司NC Cloud存在命令执行漏洞
4. Oracle WebLogic存在未授权访问漏洞


漏洞详情

1.Nexus Repository Manager 3 XML外部实体注入漏洞

漏洞介绍:
Nexus Repository 是一个开源的仓库管理系统,在安装、配置、使用简单的基础上提供了更加丰富的功能。

漏洞危害:
在 Nexus Repository Manager 3 中存在XML外部实体注入( XXE )漏洞。拥有管理员权限的攻击者能够利用该漏洞配置系统、查看文件系统上的文件。并与 Nexus Repository Manager 3 可以访问的任何后端或外部系统进行交互。

漏洞编号:
CVE-2020-29436

影响范围:
Sonatype:Nexus Repository Manager 3 : <=3.28.1

修复方案:
升级到最新版本

来源: 360CERT

2. Microsoft Outlook远程代码执行漏洞

漏洞介绍:
Microsoft Outlook是美国微软(Microsoft)公司的一套电子邮件应用程序。

漏洞危害:
Microsoft Outlook存在安全漏洞。攻击者可利用漏洞在系统用户的上下文中运行任意代码。

影响范围:
Microsoft Office 2019
Microsoft 365 Apps

修复建议:
及时测试并升级到最新版本或升级版本

来源:CNVD

3. 用友网络科技股份有限公司NC Cloud存在命令执行漏洞

漏洞介绍:
NC Cloud是一款大型企业数字化平台, 聚焦数字化管理、数字化经营、数字化商业,帮助大型企业实现 人、财、物、客的全面数字化。

漏洞危害:
用友网络科技股份有限公司NC Cloud存在命令执行漏洞。攻击者可利用漏洞远程执行命令,获得服务器权限。

影响范围:
用友网络科技股份有限公司 用友NC Cloud 6.5

修复建议:
及时测试并升级到漏洞修复的版本。

来源:CNVD

4. Oracle WebLogic存在未授权访问漏洞

漏洞介绍:
WebLogic 是美国 Oracle 公司出品的 Java 应用服务器,WebLogic 是用于开发、集成、部署和管理大型分布式 Web 应用、网络应用和数据库应用。

漏洞危害:
Oracle WebLogic存在未授权访问漏洞,攻击者可利用该漏洞获取服务器控制权限。

影响范围:
Oracle WebLogic Server 10.3.6.0.0
Oracle WebLogic Server 12.2.1.3.0
Oracle Oracle WebLogic Server 12.1.3.0.0
Oracle WebLogic Server 12.2.1.4.0
Oracle WebLogic Server 14.1.1.0.0

修复建议:
及时测试并更新最新补丁

来源:CNVD


雷神众测漏洞周报2020.12.14-2020.12.20-4

专注渗透测试技术

全球最新网络攻击技术


END

雷神众测漏洞周报2020.12.14-2020.12.20-4

本文始发于微信公众号(雷神众测):雷神众测漏洞周报2020.12.14-2020.12.20-4

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: