0x00 风险概述
2022年2月15日,CISA将9个已知漏洞添加到被利用的安全漏洞目录中,这些漏洞影响了Adobe、Google、Microsoft等公司的多个产品和组件。
0x01 攻击详情
CISA本次新增的9个漏洞都是已知被积极利用的安全漏洞,对企业和组织构成了重大风险,如下:
|
CVE 编号 |
CVE 标题 |
CISA要求修复截止日期 |
|
CVE-2022-24086 |
Adobe Commerce & Magento Open Source不正确的输入验证漏洞 |
2022 年 3 月 1 日 |
|
CVE-2022-0609 |
Google Chrome Use-After-Free漏洞 |
2022 年 3 月 1 日 |
|
CVE-2019-0752 |
Microsoft Internet Explorer 类型混淆漏洞 |
2022 年 8 月 15 日 |
|
CVE-2018-8174 |
Microsoft Windows VBScript 引擎越界写入漏洞 |
2022 年 8 月 15 日 |
|
CVE-2018-20250 |
WinRAR 路径遍历漏洞 |
2022 年 8 月 15 日 |
|
CVE-2018-15982 |
Adobe Flash Player Use-After-Free漏洞 |
2022 年 8 月 15 日 |
|
CVE-2017-9841 |
PHPUnit 命令注入漏洞 |
2022 年 8 月 15 日 |
|
CVE-2014-1761 |
Microsoft Word 内存损坏漏洞 |
2022 年 8 月 15 日 |
|
CVE-2013-3906 |
Microsoft 图形组件内存损坏漏洞 |
2022 年 8 月 15 日 |
漏洞详情如下:
CVE-2022-24086:Adobe Commerce & Magento OpenSource不正确的输入验证漏洞
Adobe Commerce 和 Magento Open Source中由于输入验证不当导致存在远程代码执行漏洞,其CVSSv3评分为9.8。该漏洞无需任何凭据即可被利用,但攻击者必须具有管理权限。
参考链接:
https://helpx.adobe.com/security/products/magento/apsb22-12.html
CVE-2022-0609:Google Chrome Use-After-Free漏洞
2月14日,Google发布了适用于 Windows、Mac 和 Linux 的 Chrome 98.0.4758.102版本,修复了Animation中的Use-after-free漏洞CVE-2022-0609,攻击者可利用此漏洞执行任意代码或实现浏览器沙箱逃逸。
参考链接:
https://chromereleases.googleblog.com/2022/02/stable-channel-update-for-desktop_14.html
CVE-2019-0752:Microsoft Internet Explorer 类型混淆漏洞
Internet Explorer中脚本引擎处理内存中对象的方式中存在一个远程代码执行漏洞,又称 "脚本引擎内存破坏漏洞"。该漏洞已于2019 年 4 月修复,其CVSSv3评分为7.5。
参考链接:
https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2019-0752
CVE-2018-8174:Microsoft Windows VBScript 引擎越界写入漏洞
VBScript引擎处理内存中对象的方式中存在一个远程代码执行漏洞,又称"Windows VBScript引擎远程代码执行漏洞",该漏洞的CVSSv3评分为7.5,影响了Windows7、Windows Server 2012 R2、WindowsRT 8.1、Windows Server 2008、WindowsServer 2012、Windows 8.1、WindowsServer 2016、Windows Server 2008 R2、Windows 10、Windows 10Servers。
参考链接:
https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2018-8174
CVE-2018-20250:WinRAR 路径遍历漏洞
在5.61之前(包括5.61)的WinRAR版本中,在制作ACE格式的文件名字段时存在路径穿越漏洞(UNACEV2.dll中)。当使用特定模式操纵文件名字段时,将忽略目标(提取)文件夹,从而将文件名视为绝对路径,该漏洞的CVSSv3评分为7.8。
参考链接:
https://www.rapid7.com/db/modules/exploit/windows/fileformat/winrar_ace/
CVE-2018-15982:Adobe Flash Player Use-After-Free漏洞
Flash Player 31.0.0.153 及之前版本、31.0.0.108 及之前版本中存在Use-After-Free漏洞,成功利用可能导致任意代码执行,该漏洞的CVSSv3评分为9.8。
参考链接:
https://helpx.adobe.com/security/products/flash-player/apsb18-42.html
CVE-2017-9841:PHPUnit 命令注入漏洞
4.8.28之前的PHPUnit和5.6.3之前的5.x中的Util/HP/eval-stdin.php允许远程攻击者通过以"<?php "子字符串开头的HTTP POST数据执行任意PHP代码,该漏洞的CVSSv3评分为9.8。
参考链接:
http://web.archive.org/web/20170701212357/http://phpunit.vulnbusters.com/
CVE-2014-1761:Microsoft Word 内存损坏漏洞
Microsoft Word 2003 SP3、2007 SP3、2010 SP1和SP2、2013和2013 RT;WordViewer;Office Compatibility Pack SP3;Office for Mac 2011;SharePoint Server 2010SP1和SP2及2013上的Word Automation Services;Office Web Apps2010 SP1和SP2;以及Office Web AppsServer 2013允许远程攻击者通过制作的RTF数据执行任意代码或导致拒绝服务(内存损坏)。
参考链接:
https://docs.microsoft.com/en-us/security-updates/securitybulletins/2014/ms14-017
CVE-2013-3906:Microsoft 图形组件内存损坏漏洞
Microsoft Windows Vista SP2和Server 2008 SP2;Office 2003 SP3、2007 SP3和2010 SP1和SP2;Office Compatibility Pack SP3;以及Lync 2010、2010 Attendee、2013和Basic2013中的GDI+允许远程攻击者通过制作的TIFF图像执行任意代码。
参考链接:
https://docs.microsoft.com/en-us/security-updates/securitybulletins/2013/ms13-096
CISA发布的完整漏洞列表如下:
https://www.cisa.gov/known-exploited-vulnerabilities-catalog
0x02 风险等级
高危。
0x03 影响范围
这些漏洞都是已知的被利用的安全漏洞,具有潜在的安全风险。
0x04 安全建议
建议根据参考链接或漏洞目录列表积极修复已知被利用的漏洞,以保护信息系统并降低网络安全风险。
0x05 参考链接
https://www.cisa.gov/uscert/ncas/current-activity/2022/02/15/cisa-adds-nine-known-exploited-vulnerabilities-catalog
https://mp.weixin.qq.com/s/r46vOwe-m9002yTZDTgt8w
https://cyber.dhs.gov/bod/22-01/
0x06 版本信息
|
版本 |
日期 |
修改内容 |
|
V1.0 |
2022-02-17 |
首次发布 |
0x07 附录
原文始发于微信公众号(维他命安全):【风险通告】CISA 2022已知被利用的漏洞列表(八)
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论