腾讯安全威胁情报中心推出2022年11月必修安全漏洞清单
欢迎关注
腾讯安全威胁情报中心
腾讯安全近期监测到互联网上某安全研究人员发布了关于YApi的风险公告,漏洞编号为CNVD-2022-77758。成功利用此漏洞的攻击者,最终可远程在目标系统上执行任意命令。
YApi 是高效、易用、功能强大的 api 管理平台,使用mock数据/脚本作为中间交互层,为前端、后台开发与测试人员提供更优雅的接口管理服务。该系统被国内较多知名互联网企业所采用。
据描述,由于Yapi中的base.js没有正确对token参数进行过滤,攻击者可通过 MongoDB注入获取用户token(包括用户 ID、项目 ID 等),进而使用自动化测试API 接口写入待执行命令,并利用沙箱逃逸触发命令执行。
风险等级:
影响版本:
Yapi < 1.11.0
P.S. Yapi在1.11.0版本修复Mongo注入漏洞,1.12.0版本默认关闭Pre-request Script 和 Pre-response Script。
修复建议:
官方已发布漏洞补丁及修复版本,请评估业务是否受影响后,酌情升级至安全版本。
【备注】:建议您在升级前做好数据备份工作,避免出现意外。
https://github.com/YMFE/yapi/commit/59bade3a8a43e7db077d38a4b0c7c584f30ddf8c
腾讯安全近期监测到OpenSSL发布安全公告,修复了2个存在于OpenSSL中的缓冲区溢出漏洞,漏洞编号分别为:CVE-2022-3602、CVE-2022-3786(CNVD编号:CNVD-2022-73348 / CNVD-2022-73349)。此漏洞可导致目标系统拒绝服务或远程代码执行等危害。
OpenSSL是OpenSSL团队的一个开源的能够实现安全套接层(SSLv2/v3)和安全传输层(TLSv1)协议的通用加密库。该产品支持多种加密算法,包括对称密码、哈希算法、安全散列算法等。
据描述,在X.509 证书验证过程中(特别是在名称约束检查中)会触发缓冲区溢出。缓冲区溢出发生在证书链签名验证之后,需要 CA 签署恶意证书或让应用程序在未能构建到受信任颁发者的路径时继续进行证书验证。攻击者可以构造恶意电子邮件地址触发溢出,导致拒绝服务或命令执行等危害。
漏洞状态:
风险等级:
影响版本:
3.0.0 <= OpenSSL < 3.0.7
官方已发布漏洞补丁及修复版本,请评估业务是否受影响后,酌情升级至安全版本
【备注】:建议您在升级前做好数据备份工作,避免出现意外
https://github.com/openssl/openssl/tags
腾讯安全近期监测到RedHat官方发布了关于Quarkus的风险公告,漏洞编号为:CVE-2022-4116(CNVD编号:CNVD-2022-86318)。成功利用此漏洞的攻击者,最终可远程在目标系统上执行任意命令。
Quarkus 是一个为 Java 虚拟机(JVM)和原生编译而设计的全堆栈 Kubernetes 原生 Java 框架,用于专门针对容器优化 Java,并使其成为无服务器、云和 Kubernetes 环境的高效平台。
据描述,漏洞发生在 Dev UI Config Editor 中,该编辑器容易受到 drive-by localhost 攻击,从而导致远程代码执行。
漏洞状态:
风险等级:
影响版本:
修复建议:
官方已发布漏洞补丁及修复版本,请评估业务是否受影响后,酌情升级至安全版本
【备注】:建议您在升级前做好数据备份工作,避免出现意外
https://quarkus.io/blog/quarkus-2-14-2-final-released/
https://joebeeton.github.io/
https://github.com/JoeBeeton/simple-request-attacks
概述:
腾讯安全近期监测到Apache官方发布了关于Airflow组件的风险公告,漏洞编号为:CVE-2022-40127(CNVD编号:CNVD-2022-78862)。成功利用此漏洞的攻击者,最终可远程在目标系统上执行任意代码。
Apache Airflow 是一个可编程,调度和监控的工作流平台,基于有向无环图(DAG),Airflow 可以定义一组有依赖的任务,按照依赖依次执行。
据描述,当攻击者可访问到Apache Airflow的后台UI,且环境中存在默认dag时,可构造恶意请求借助run_id 执行任意命令。
Airflow < 2.4.0
官方已发布漏洞补丁及修复版本,请评估业务是否受影响后,酌情升级至安全版本。
【备注】:建议您在升级前做好数据备份工作,避免出现意外。
https://github.com/apache/airflow/releases/
概述:
腾讯安全近期监测到atlassian官方发布了关于Bitbucket Server and Data Center的风险公告,漏洞编号为:CVE-2022-43781(CNNVD编号:CNNVD-202211-2958)。成功利用此漏洞的攻击者,最终可远程在目标系统上执行任意命令。
Atlassian Bitbucket是 Atlassian 推出的一款现代化代码协作平台,支持代码审查、分支权限管理、CICD 等功能。
据描述,Bitbucket Server 和 Data Center中存在使用环境变量的命令注入漏洞。具有控制用户名权限的攻击者可以利用此问题在系统上执行代码。Bitbucket Server 和 Data Center 7.0版中引入了此漏洞。在开启了注册功能的情况下,攻击者可通过注册用户前台执行任意命令。若Bitbucket Server/Data Center 使用PostgreSQL 作为数据库,则不受该漏洞影响。
漏洞状态:
风险等级:
影响版本:
7.0.0 ≤ version < 7.6.19
7.7.0 ≤ version < 7.17.12
7.18.0 ≤ version < 7.21.6
7.22.0 ≤ version < 8.0.5
8.1.0 ≤ version < 8.1.5
8.2.0 ≤ version < 8.2.4
8.3.0 ≤ version < 8.3.3
8.4.0 ≤ version < 8.4.2
修复建议:
官方已发布漏洞补丁及修复版本,请评估业务是否受影响后,酌情升级至安全版本
【备注】:建议您在升级前做好数据备份工作,避免出现意外
https://confluence.atlassian.com/bitbucketserver/bitbucket-server-and-data-center-security-advisory-2022-11-16-1180141667.html
https://petrusviet.medium.com/cve-2022-43781-32bc29de8960
2022年11月,微软发布了2022年11月的例行安全更新公告,共涉及漏洞数86 个,其中严重级别漏洞13个。本次发布涉及 Microsoft Windows、Windows Offices、及 Visual Studio、Microsoft Exchange等多个软件的安全更新。上述漏洞中危害性较高的Windows Scripting Languages (JScript9)远程代码执行漏洞,漏洞编号为:CVE-2022-41128(CNNVD编号:CNNVD-202211-2240)攻击者可利用该漏洞在目标主机上执行任意代码。
Microsoft Windows是美国微软公司以图形用户界面为基础研发的操作系统,主要运用于计算机、智能手机等设备,是全球应用最广泛的操作系统之一。
JScript是由微软公司开发的动态脚本语言,是微软对ECMAScript规范的实现。
据描述,攻击者通常是通过电子邮件或聊天消息中的内容等,诱导用户访问一个特制的服务器共享或网站。成功利用该漏洞的攻击者可以远程执行任意代码。
Microsoft Microsoft Windows RT 8.1
Microsoft Microsoft Windows 8.1 for x64-based systems
Microsoft Microsoft Windows 8.1 for 32-bit systems
Microsoft Microsoft Windows 7 for x64-based Systems SP1
Microsoft Microsoft Windows 7 for 32-bit Systems SP1
Microsoft Microsoft Windows 10 for x64-based Systems
Microsoft Microsoft Windows 10 for 32-bit Systems
Microsoft Microsoft Windows 10 22H2 for x64-based Systems
Microsoft Microsoft Windows 10 22H2 for ARM64-based Systems
Microsoft Microsoft Windows 10 22H2 for 32-bit Systems
Microsoft Microsoft Windows 10 21H2 for x64-based Systems
Microsoft Microsoft Windows 10 21H2 for ARM64-based Systems
Microsoft Microsoft Windows 10 21H2 for 32-bit Systems
Microsoft Microsoft Windows 10 21H1 for x64-based Systems
Microsoft Microsoft Windows 10 21H1 for ARM64-based Systems
Microsoft Microsoft Windows 10 21H1 for 32-bit Systems
Microsoft Microsoft Windows 10 20H2 for x64-based Systems
Microsoft Microsoft Windows 10 20H2 for ARM64-based Systems
Microsoft Microsoft Windows 10 20H2 for 32-bit Systems
Microsoft Microsoft Windows 10 1809 for x64-based Systems
Microsoft Microsoft Windows 10 1809 for ARM64-based Systems
Microsoft Microsoft Windows 10 1809 for 32-bit Systems
Microsoft Microsoft Windows 10 1607 for x64-based Systems
Microsoft Microsoft Windows 10 1607 for 32-bit Systems
Microsoft Microsoft Windows 11 for x64-based Systems
Microsoft Microsoft Windows 11 for ARM64-based Systems
Microsoft Microsoft Windows 11 22H2 for x64-based Systems
Microsoft Microsoft Windows 11 22H2 for ARM64-based Systems
Microsoft Microsoft Windows Server 2022
Microsoft Microsoft Windows Server 2019
Microsoft Microsoft Windows Server 2016
Microsoft Microsoft Windows Server 2012 R2
Microsoft Microsoft Windows Server 2012
Microsoft Microsoft Windows Server 2008 R2 for x64-based Systems
官方已发布漏洞补丁及修复版本,请评估业务是否受影响后,酌情升级至安全版本
【备注】:建议您在升级前做好数据备份工作,避免出现意外
https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2022-41128
概述:
腾讯安全近期监测到Parse Server官方发布了关于Parse Server的风险公告,漏洞编号为:CVE-2022-39396(CNNVD编号:CNNVD-202211-2511)。成功利用此漏洞的攻击者,最终可远程在目标系统上执行任意代码。
Parse-Server 是一款开源的、基于nodejs的后端框架 , 可以基于它进行产品的后端restful api的开发 ,用于提高中小型应用的开发效率。
据描述,Parse Server存在安全漏洞,该漏洞源于攻击者可以使用原型污染接收器通过MongoDB BSON解析器触发远程代码执行。
漏洞状态:
风险等级:
影响版本:
Parse Server < 4.10.18
5.0.0 <= Parse Server < 5.3.1
修复建议:
官方已发布漏洞补丁及修复版本,请评估业务是否受影响后,酌情升级至安全版本
【备注】:建议您在升级前做好数据备份工作,避免出现意外
https://github.com/parse-community/parse-server/security/advisories/GHSA-prm5-8g2m-24g
* 漏洞评分为腾讯安全研究人员根据漏洞情况作出,仅供参考,具体漏洞细节请以原厂商或是相关漏洞平台公示为准。
通用的漏洞修复、防御方案建议
腾讯安全威胁情报中心
腾讯安全攻防团队 A&D Team
腾讯安全攻防团队 A&D Team专注于安全前沿攻防技术研究。组内有多名深耕安全技术多年的业内专家,研究领域包含但不限于Web安全,主机安全,二进制安全,欢迎关注我们。
往期企业必修漏洞清单