声明
以下内容,均摘自于互联网,由于传播,利用此文所提供的信息而造成的任何直接或间接的后果和损失,均由使用者本人负责,雷神众测以及文章作者不承担任何责任。
雷神众测拥有该文章的修改和解释权。如欲转载或传播此文章,必须保证此文章的副本,包括版权声明等全部内容。声明雷神众测允许,不得任意修改或增减此文章内容,不得以任何方式将其用于商业目的。
目录
1、FasterXML jackson-databind高危漏洞
2、宝塔面板数据库管理未授权访问漏洞
3、QEMU USB模块越界读写漏洞
4、Citrix Systems XenMobile Server命令注入漏洞
漏洞详情
1.FasterXML jackson-databind高危漏洞
漏洞介绍:
2020年8月24日,安恒应急响应中心监测发现FasterXML jackson-databind发布了2.9.10.6版本和Issues更新,修复了包括br.com.anteros:Anteros-DBCP等组件库的多个反序列化漏洞,对应CVE编号:CVE-2020-24616。
漏洞危害:
根据Issues更新记录,2.9.10.6版本修复了
br.com.anteros:Anteros-DBCP、org.arrahtec:profiler-core、com.nqadmin.rowset:jdbcrowsetimpl
等多个组件库的反序列化漏洞,恶意攻击者成功利用漏洞可能实现远程代码执行效果,建议使用该组件包的系统及时升级到漏洞修复的版本。
漏洞编号:
CVE-2020-24616
影响范围:
jackson-databind反序列化漏洞(CVE-2020-24616)主要影响以下版本:
jackson-databind-2.9.10.6之前的2.x版本,建议更新到2.9.10.6以上版本。
修复方案:
目前漏洞细节和利用代码暂未公开,但jackson-databind之前已经被报过多次反序列化漏洞,恶意攻击者很容易通过补丁逆向分析和Issues描述定位到漏洞触发点,并进一步开发出利用代码,建议及时测试并升级到漏洞修复的版本。
来源:安恒应急响应中心
2.宝塔面板数据库管理未授权访问漏洞
漏洞介绍:
2020年8月23日宝塔面板官方发布了数据库未授权访问漏洞的风险通告,漏洞等级:严重。
漏洞危害:
宝塔面板存在数据库未授权访问的漏洞,远程攻击者通过访问特定路径,可以直接访问到phpmyadmin数据库管理页面,并可借此获取服务器系统权限。
影响范围:
宝塔面板Linux版本:7.4.2版本和测试版本7.5.14
宝塔面板Windows版本:6.8版本
修复建议:
宝塔面板Linux版本7.4.2版本升级到7.4.3版本
宝塔面板Linux测试版本7.5.14版本升级到7.5.15版本
宝塔面板Windows版本6.8版本升级到6.9.0版本
来源:360CERT
3.QEMU USB模块越界读写漏洞
漏洞介绍:
2020年8月25日qemu 发布了 qemu 内存越界漏洞 的风险通告,该漏洞编号为 CVE-2020-14364 ,漏洞等级:高危,漏洞评分:8.2。
漏洞危害:
攻击者通过 构造特殊的内存数据 ,可造成 虚拟机逃逸并执行任意代码的影响。
漏洞编号:
CVE-2020-14364
影响范围:
qemu:qemu : 全版本
修复建议:
及时测试并更新到漏洞修复的版本或升级版本
来源:360CERT
4.Citrix Systems XenMobile Server命令注入漏洞
漏洞介绍:
Citrix Systems XenMobile Server是美国思杰系统(Citrix Systems)公司的一套移动管理解决方案。该方案能够管理移动设备、制定移动策略和合规性规则、深入了解移动移动网络运行情况等。
漏洞危害:
Citrix Systems XenMobile Server存在命令注入漏洞。该漏洞源于外部输入数据构造可执行命令过程中,网络系统或产品未正确过滤其中的特殊元素。攻击者可利用该漏洞执行非法命令。
漏洞编号:
CVE-2020-8211
影响范围:
Citrix Systems XenMobile Server <10.12 RP3
Citrix Systems XenMobile Server <10.11 RP6
Citrix Systems XenMobile Server <10.10 RP6
Citrix Systems XenMobile Server <10.9 RP5
修复建议:
及时测试并更新到漏洞修复的版本或升级版本
来源:CNVD
专注渗透测试技术
全球最新网络攻击技术
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论