雷神众测漏洞周报2020.12.14-2020.12.20-4

admin 2020年12月21日15:47:31评论131 views字数 1413阅读4分42秒阅读模式

声明

以下内容,均摘自于互联网,由于传播,利用此文所提供的信息而造成的任何直接或间接的后果和损失,均由使用者本人负责,雷神众测以及文章作者不承担任何责任。

雷神众测拥有该文章的修改和解释权。如欲转载或传播此文章,必须保证此文章的副本,包括版权声明等全部内容。声明雷神众测允许,不得任意修改或增减此文章内容,不得以任何方式将其用于商业目的。


目录

1. Nexus Repository Manager 3 XML外部实体注入漏洞
2. Microsoft Outlook远程代码执行漏洞
3. 用友网络科技股份有限公司NC Cloud存在命令执行漏洞
4. Oracle WebLogic存在未授权访问漏洞


漏洞详情

1.Nexus Repository Manager 3 XML外部实体注入漏洞

漏洞介绍:
Nexus Repository 是一个开源的仓库管理系统,在安装、配置、使用简单的基础上提供了更加丰富的功能。

漏洞危害:
在 Nexus Repository Manager 3 中存在XML外部实体注入( XXE )漏洞。拥有管理员权限的攻击者能够利用该漏洞配置系统、查看文件系统上的文件。并与 Nexus Repository Manager 3 可以访问的任何后端或外部系统进行交互。

漏洞编号:
CVE-2020-29436

影响范围:
Sonatype:Nexus Repository Manager 3 : <=3.28.1

修复方案:
升级到最新版本

来源: 360CERT

2. Microsoft Outlook远程代码执行漏洞

漏洞介绍:
Microsoft Outlook是美国微软(Microsoft)公司的一套电子邮件应用程序。

漏洞危害:
Microsoft Outlook存在安全漏洞。攻击者可利用漏洞在系统用户的上下文中运行任意代码。

影响范围:
Microsoft Office 2019
Microsoft 365 Apps

修复建议:
及时测试并升级到最新版本或升级版本

来源:CNVD

3. 用友网络科技股份有限公司NC Cloud存在命令执行漏洞

漏洞介绍:
NC Cloud是一款大型企业数字化平台, 聚焦数字化管理、数字化经营、数字化商业,帮助大型企业实现 人、财、物、客的全面数字化。

漏洞危害:
用友网络科技股份有限公司NC Cloud存在命令执行漏洞。攻击者可利用漏洞远程执行命令,获得服务器权限。

影响范围:
用友网络科技股份有限公司 用友NC Cloud 6.5

修复建议:
及时测试并升级到漏洞修复的版本。

来源:CNVD

4. Oracle WebLogic存在未授权访问漏洞

漏洞介绍:
WebLogic 是美国 Oracle 公司出品的 Java 应用服务器,WebLogic 是用于开发、集成、部署和管理大型分布式 Web 应用、网络应用和数据库应用。

漏洞危害:
Oracle WebLogic存在未授权访问漏洞,攻击者可利用该漏洞获取服务器控制权限。

影响范围:
Oracle WebLogic Server 10.3.6.0.0
Oracle WebLogic Server 12.2.1.3.0
Oracle Oracle WebLogic Server 12.1.3.0.0
Oracle WebLogic Server 12.2.1.4.0
Oracle WebLogic Server 14.1.1.0.0

修复建议:
及时测试并更新最新补丁

来源:CNVD


雷神众测漏洞周报2020.12.14-2020.12.20-4

专注渗透测试技术

全球最新网络攻击技术


END

雷神众测漏洞周报2020.12.14-2020.12.20-4

本文始发于微信公众号(雷神众测):雷神众测漏洞周报2020.12.14-2020.12.20-4

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2020年12月21日15:47:31
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   雷神众测漏洞周报2020.12.14-2020.12.20-4https://cn-sec.com/archives/211831.html

发表评论

匿名网友 填写信息