Apache Dubbo Hessian-Lite 远程代码执行漏洞（CVE-2022-39198）

Dubbo是一个高性能优秀的服务框架。CVE-2022-39198中，在Dubbo Hessian-Lite 3.2.12 之前版本中存在反序列化漏洞，攻击者在可访问到dubbo服务的情况下可构造恶意请求触发反序列化，执行任意代码。

高危

CVE-2022-39198

2.7.0<=Apache Dubbo <=2.7.17

3.0.0<=Apache Dubbo <=3.0.11

Apache Dubbo=3.1.0

官方已发布安全更新，请尽快升级至安全版本及其以上。

参考来源：

https://avd.aliyun.com/detail?id=AVD-2022-39198

Apache Commons JXPath 远程代码执行漏洞（CVE-2022-41852）

Apache JXPath 在解析用户提供的XPath表达式时，若使用了JXPathContext中除compile和compilePath之外的函数来解析XPath表达式时，会导致远程代码执行漏洞。

官方未针对 CVE-2022-41852 Apache Commons JXPath 远程代码执行漏洞发布安全更新。

严重

CVE-2022-41852

Apache Commons JXPath <= 1.3

建议自行排查相关代码，或不使用Apache JXPath来进行XPath解析。

参考来源：

https://avd.aliyun.com/detail?id=AVD-2022-41852

Apache Commons Text StringLookup 远程代码执行漏洞（CVE-2022-42889）

Apache Commons Text 1.10.0 版本之前允许对文本进行相关的变量解析。CVE-2022-42889 中，在Apache Commons Text 1.5 ～1.9 版本中，攻击者可构造恶意文本，使得Apache Commons Text 在解析时执行任意代码，控制服务器。漏洞利用需要具体代码依赖。

严重

CVE-2022-42889

1.5 <= Apache Commons Text <= 1.9

官方已发布安全更新，请尽快升级至安全版本及其以上。

参考来源：

https://avd.aliyun.com/detail?id=AVD-2022-42889

Apache Shiro RequestDispatcher 权限绕过漏洞（CVE-2022-40664）

2022年10月12日，Apache 官方披露 CVE-2022-40664 Apache Shiro 权限绕过漏洞。Shiro 1.10.0 之前版本，在代码中使用RequestDispatcher进行转发时可能存在认证绕过漏洞。

高危

CVE-2022-40664

Apache Shiro < 1.10.0

建议您更新当前系统或软件至最新版，完成漏洞的修复。

参考来源：

https://avd.aliyun.com/detail?id=AVD-2022-40664

FortiGate 和 FortiProxy 存在身份验证绕过漏洞（CVE-2022-40684）

Fortinet FortiOS是美国飞塔（Fortinet）公司的一套专用于FortiGate网络安全平台上的安全操作系统。该系统为用户提供防火墙、防病毒、IPSec/SSLVPN、Web内容过滤和反垃圾邮件等多种安全功能。FortiProxy 为网站和基于云的应用程序提供安全 Web 网关、安全功能、无与伦比的性能以及最佳用户体验。

近日，白帽汇安全研究院监测到Fortinet修复了一个存在 FortiGate 防火墙和 FortiProxy Web 代理中的身份验证绕过漏洞（CVE-2022-40684），该漏洞可能允许攻击者在易受攻击的设备上执行未经授权的操作，攻击者通过向易受攻击的目标发送特制的 HTTP 或 HTTPS 请求进行绕过身份认证以管理员身份在控制面板中执行任意操作。

CVE-2022-40684

app="FORTINET-防火墙"

7.0.0 <= FortiOS <= 7.0.6
7.2.0 <= FortiOS <= 7.2.1
7.0.0 <= FortiProxy <= 7.0.6
FortiProxy = 7.2.0

官方已经针对漏洞发布了安全更新，用户可升级至安全版本：

• 使用 7.0.0 <= FortiOS <= 7.0.6 的用户升级至 7.0.7 版本

• 使用 7.2.0 <= FortiOS <= 7.2.1 的用户升级至 7.2.2 版本

• 使用 7.0.0 <= FortiProxy <= 7.0.6 的用户升级至 7.0.7 版本

• 使用 FortiProxy = 7.2.0 的用户升级至 7.2.1 版本

下载地址如下：

https://docs.fortinet.com/document/fortigate/7.2.2/fortios-release-notes/832438/upgrade-information

https://docs.fortinet.com/document/fortiproxy/7.2.1/release-notes/587449/product-integration-and-support

参考来源：

https://nosec.org/home/detail/5038.html

微软Exchange服务SSRF&RCE漏洞（CVE-2022-41040&CVE-2022-41082）

Exchange Server 是微软公司的一套电子邮件服务组件，是个消息与协作系统。简单而言，Exchangeserver可以被用来构架应用于企业、学校的邮件系统。Exchange是收费邮箱，但是国内微软并不直接出售Exchange邮箱，而是将Exchange、Lync、Sharepoint三款产品包装成Office365出售。Exchange server还是一个协作平台。在此基础上可以开发工作流，知识管理系统，Web系统或者是其他消息系统。

近日，白帽汇安全研究院监测到微软修复了一个服务器端请求伪造（SSRF）漏洞（CVE-2022-41040）和一个远程代码执行（RCE）漏洞（CVE-2022-41082），CVE-2022-41040 可使经过身份验证的攻击者远程触发 CVE-2022-41082。应该注意的是，要成功利用这两个漏洞中的任何一个漏洞，都必须对易受攻击的 Exchange Server 进行经过身份验证的访问。

CVE-2022-41040
CVE-2022-41082

app="Microsoft-Exchange"

Microsoft Exchange Server 2013、2016和2019

缓解措施

微软Exchange联机客户不需要采取任何操作。在本地，微软 Exchange 客户应查看并应用以下 URL 重写说明，并阻止公开的远程PowerShell端口。

当前的缓解措施是在“IIS Manager -> Default WebSite -> Autodiscover -> URL Rewrite -> Actions”中添加阻止规则，以阻止已知的攻击模式。

检测

1. Microsoft Defender for Endpoint 可检测到利用后活动。以下警报可能与此威胁相关：

• Possible web shell installation（可能的网页Shell安装）

• Possible IIS web shell（可能的IIS网页Shell）

• Suspicious Exchange Process Execution（可疑的交换进程执行）

• Possible exploitation of Exchange Server vulnerabilities（可能利用Exchange服务漏洞）

• Possible IIS compromise（指示 WebShell的可疑进程）

• Possible IIS compromise（可能的 IIS 危害）

2. 启用了MicrosoftDefender Antivirus防御者防病毒软件的用户还可以检测到用于野外利用此漏洞的WebShell恶意软件，并发出以下警报：

• 在 IIS Web 服务器上检测到“Chopper”恶意软件

• 检测到“Chopper”高严重性恶意软件

参考来源：

https://nosec.org/home/detail/5037.html

GLPI htmLawedTest.php 远程代码执行漏洞（CVE-2022-35914）

GLPI (Gestion Libre de Parc Informatique) 是一个可视化的信息资源管理器软件。CVE-2022-35914中，攻击者可构造恶意请求，通过GLPI的第三方依赖执行任意代码，控制服务器。

严重

CVE-2022-35914

glpi < 10.0.2

官方已发布安全更新，请尽快升级。

参考来源：

https://avd.aliyun.com/detail?id=AVD-2022-35914