Cisco Unified Communications Manager SQL注入漏洞（CNVD-2022-31841）

美国国土安全部(DHS)今天透露，在“黑客DHS”漏洞赏金计划中注册的漏洞赏金猎人已经在DHS外部系统中发现了122个安全漏洞，其中27个被评为严重级别。该计划要求黑客公开他们的发现信息包括漏洞的详细信息，漏洞如何被利用，以及漏洞如何被用来访问DHS系统。所有报告的安全漏洞都会在48小时内被DHS安全专家验证，并根据漏洞的复杂程度，专家会在15天或更长时间内修复。

来源：安全419

Ukraine CERT-UA警告称，攻击者使用“Azovstal”主题的网络钓鱼邮件对乌克兰国家机构发起攻击。其网络钓鱼邮件使用主题“Azovstal”和一个带有恶意代码的的office附件文档。当打开附件并启用宏后，恶意代码便开始下载、并在磁盘上创建并运行恶意DLL“PE . DLL”。最后阶段， Cobalt Strike Beacon安装在受感染系统上，并允许攻击者接管它们。政府专家通过分析攻击中使用的加密技术，将这场运动与网络犯罪集团 Trickbot联系起来。

来源：安全419

Django是Django基金会的一套基于Python语言的开源Web应用框架。该框架包括面向对象的映射器、视图系统、模板系统等。Django 2.2.28 版本之前的 2.2 版本、3.2.13 版本之前的 3.2 版本、4.0.4 版本之前的 4.0 版本存在SQL注入漏洞，该漏洞源于QuerySet.explain() 中发现了SQL注入问题。目前没有详细的漏洞细节提供。

来源：CNVD

据Security affairs网站消息，4月21日，安全研究人员Khaled Nassar在Github上公开了Java 中新披露的数字签名绕过漏洞的PoC代码，该漏洞被追踪为CVE-2022-21449（CVSS 分数：7.5）。

漏洞的影响范围主要涉及 Java SE 和 Oracle GraalVM 企业版的以下版本 ：

Oracle Java SE：7u331、8u321、11.0.14、17.0.2、18

Oracle GraalVM 企业版：20.3.5、21.3.1、22.0.0.2

该漏洞被称为 Psychic Signatures，与Java 对椭圆曲线数字签名算法 ( ECDSA )实现有关，这是一种加密机制，用于对消息和数据进行数字签名，以验证内容的真实性和完整性。但Psychic Signatures导致的加密错误，能够允许呈现一个易受攻击的完全空白的签名，攻击者可以此利用伪造签名并绕过身份验证措施。

Nassar 证明，设置恶意 TLS 服务器可以欺骗客户端接受来自服务器的无效签名，从而有效地允许 TLS 握手的其余部分继续进行。

据悉，漏洞在去年11月就由 ForgeRock 研究员 Neil Madden 发现，并于当天就通报给了甲骨文（Oracle），Madden表示，这个漏洞的严重性再怎么强调都不为过。

目前，甲骨文已在4月19日最新发布的4月补丁中修复了该漏洞，但由于PoC代码的公布，建议在其环境中使用 Java 15、Java 16、Java 17 或 Java 18 的系统组织尽快修复。

来源：FreeBuf.COM

    数据安全能力引领者！