Cisco Unified Communications Manager SQL注入漏洞(CNVD-2022-31841)

admin 2022年4月26日00:16:08安全漏洞评论19 views2424字阅读8分4秒阅读模式

Cisco Unified Communications Manager SQL注入漏洞(CNVD-2022-31841)


Cisco Unified Communications Manager SQL注入漏洞(CNVD-2022-31841)

1

PART

安全资讯


PART1

漏洞赏金猎人在DHS系统中发现122个安全漏洞

美国国土安全部(DHS)今天透露,在“黑客DHS”漏洞赏金计划中注册的漏洞赏金猎人已经在DHS外部系统中发现了122个安全漏洞,其中27个被评为严重级别。该计划要求黑客公开他们的发现信息包括漏洞的详细信息,漏洞如何被利用,以及漏洞如何被用来访问DHS系统。所有报告的安全漏洞都会在48小时内被DHS安全专家验证,并根据漏洞的复杂程度,专家会在15天或更长时间内修复。

来源:安全419

PART2


对俄罗斯宣战以来,匿名者泄露其 5.8 TB 数据


俄乌战争爆发后,匿名者黑客组织(Anonymous)宣布对俄罗斯发动网络战争。目前,该团伙声称已通过 DDoSecrets 公布了约 5.8 TB 的俄罗斯数据,并表示要泄露更多俄罗斯企业、政府、商业银行等实体组织的数据信息。

来源:安全419

PART3

黑客使用“Azovstal”主题的网络钓鱼邮件攻击乌克兰

Ukraine CERT-UA警告称,攻击者使用“Azovstal”主题的网络钓鱼邮件对乌克兰国家机构发起攻击。其网络钓鱼邮件使用主题“Azovstal”和一个带有恶意代码的的office附件文档。当打开附件并启用宏后,恶意代码便开始下载、并在磁盘上创建并运行恶意DLL“PE . DLL”。最后阶段, Cobalt Strike Beacon安装在受感染系统上,并允许攻击者接管它们。政府专家通过分析攻击中使用的加密技术,将这场运动与网络犯罪集团 Trickbot联系起来。

来源:安全419

最新漏洞通报

02

PART


01

Django SQL注入漏洞(CNVD-2022-31837)



Django是Django基金会的一套基于Python语言的开源Web应用框架。该框架包括面向对象的映射器、视图系统、模板系统等。Django 2.2.28 版本之前的 2.2 版本、3.2.13 版本之前的 3.2 版本、4.0.4 版本之前的 4.0 版本存在SQL注入漏洞,该漏洞源于QuerySet.explain() 中发现了SQL注入问题。目前没有详细的漏洞细节提供。

来源:CNVD

02


Cisco Unified Communications Manager SQL注入漏洞(CNVD-2022-31841)



Cisco Unified Communications Manager(CUCM,Unified CM,CallManager)是美国思科(Cisco)公司的一款统一通信系统中的呼叫处理组件。该组件提供了一种可扩展、可分布和高可用的企业IP电话呼叫处理解决方案。Unified Communications Manager Session Management Edition是Unified Communications Manager的会话管理版。Cisco Unified Communications Manager IM & Presence Service (Unified CM IM&P) 存在SQL注入漏洞,该漏洞源于对用户提交的参数的验证不当。攻击者可利用该漏洞通过对应用程序进行身份验证并向受影响的系统发送恶意请求来获取数据或修改存储在受影响系统的底层数据库中的数据。

来源:CNVD

03

DrayTek Vigor远程命令注入漏洞



DrayTek Vigor是一种路由器。DrayTek Vigor中存在一个远程命令注入漏洞,攻击者可利用该漏洞通过在mainfunction.cgi中包含格式错误的查询字符串的精心编制的HTTP消息,让远程恶意用户执行任意代码。

来源:CNVD

04


Wyze Cam身份验证绕过漏洞



Wyze Labs Wyze Cam是美国Wyze Labs公司的一系列摄像机。Wyze Cam存在一个身份验证绕过漏洞,攻击者可利用该漏洞绕过登录并控制设备。

来源:CNVD


03

PART

威胁情报

1

Java加密漏洞PoC代码公开,受影响的版本需尽快升级



据Security affairs网站消息,4月21日,安全研究人员Khaled Nassar在Github上公开了Java 中新披露的数字签名绕过漏洞的PoC代码,该漏洞被追踪为CVE-2022-21449(CVSS 分数:7.5)。

漏洞的影响范围主要涉及 Java SE 和 Oracle GraalVM 企业版的以下版本 :

Oracle Java SE:7u331、8u321、11.0.14、17.0.2、18

Oracle GraalVM 企业版:20.3.5、21.3.1、22.0.0.2

该漏洞被称为 Psychic Signatures,与Java 对椭圆曲线数字签名算法 ( ECDSA )实现有关,这是一种加密机制,用于对消息和数据进行数字签名,以验证内容的真实性和完整性。但Psychic Signatures导致的加密错误,能够允许呈现一个易受攻击的完全空白的签名,攻击者可以此利用伪造签名并绕过身份验证措施。

Nassar 证明,设置恶意 TLS 服务器可以欺骗客户端接受来自服务器的无效签名,从而有效地允许 TLS 握手的其余部分继续进行。

据悉,漏洞在去年11月就由 ForgeRock 研究员 Neil Madden 发现,并于当天就通报给了甲骨文(Oracle),Madden表示,这个漏洞的严重性再怎么强调都不为过。

目前,甲骨文在4月19日最新发布的4月补丁中修复了该漏洞,但由于PoC代码的公布,建议在其环境中使用 Java 15、Java 16、Java 17 或 Java 18 的系统组织尽快修复。

来源:FreeBuf.COM


往期回顾


#

“4·19”讲话六周年 网络强国建设持续推进

#

鼓励依法合理有效利用数据 为数据安全提供基础性法律保障

#

数据安全须过“保密关”

#

一起了解一个网络安全领域新强制性国标GB 40050-2021


Cisco Unified Communications Manager SQL注入漏洞(CNVD-2022-31841)

END



Cisco Unified Communications Manager SQL注入漏洞(CNVD-2022-31841)

    数据安全能力引领者


原文始发于微信公众号(云知云享):Cisco Unified Communications Manager SQL注入漏洞(CNVD-2022-31841)

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年4月26日00:16:08
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  Cisco Unified Communications Manager SQL注入漏洞(CNVD-2022-31841) http://cn-sec.com/archives/942936.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: