东森平台

首页 > 技术支持 > 升级通告 > 每周升级通告

每周升级通告-2022-08-03

宣布时间 2022-08-03

新增事件

事件名称：	HTTP_提权攻击_Spring-Data-MongoDB_SpEL表达式注入_命令执行
宁静类型：	宁静漏洞
事件描述：	SpringDataforMongoDB是SpringData项目的一部门，该项目旨在为新的数据存储提供熟悉和一致的基于Spring的编程模型，同时保留存储的特定特征和功效。6月20日，VMware宣布宁静通告，修复了SpringDataMongoDB中的一个SpEL表达式注入漏洞（CVE-2022-22980），该漏洞的CVSSv3评分为8.2。SpringDataMongoDB应用法式在对包罗查询参数占位符的SpEL表达式使用@Query或@Aggregation注解的查询要领进行值绑定时，如果输入未被过滤，则容易受到SpEL注入攻击。
更新时间：	20220803

事件名称：	HTTP_文件操作攻击_奇安信天擎_文件上传
宁静类型：	宁静漏洞
事件描述：	奇安信天擎终端宁静管理系统是奇安信的新一代终端宁静防御体系。其中存在文件上传漏洞，攻击者可以上传恶意文件至指定目录，获取目标系统权限。
更新时间：	20220803

事件名称：	HTTP_文件操作攻击_泛微OA-Ecology-template-import_文件上传
宁静类型：	宁静漏洞
事件描述：	泛微是由泛微网络开发的OA系统。其中/api/mobilemode/admin/template/import接口存在漏洞，攻击者可利用该漏洞上传恶意压缩文件，植入webshell，获取目标系统权限。
更新时间：	20220803

事件名称：	HTTP_文件操作攻击_泛微OA-Ecology_app-import_文件上传
宁静类型：	宁静漏洞
事件描述：	泛微是由泛微网络开发的OA系统。其中/api/mobilemode/admin/app/import接口存在任意文件上传漏洞，攻击者可利用该漏洞上传恶意压缩文件，植入webshell，获取目标系统权限。
更新时间：	20220803

事件名称：	HTTP_文件操作攻击_泛微OA-Ecology-skin-import_文件上传
宁静类型：	宁静漏洞
事件描述：	泛微是由泛微网络开发的OA系统。其中/api/mobilemode/admin/template/import接口存在漏洞，攻击者可利用该漏洞上传恶意压缩文件，植入webshell，获取目标系统权限。
更新时间：	20220803

事件名称：	TCP_提权攻击_Apache-Commons-Configuration_代码执行[CVE-2022-33980][CNNVD-202207-428]
宁静类型：	宁静漏洞
事件描述：	ApacheCommonsConfiguration是用于管理配置文件的组件，在2.8以前的部门版本中支持了多种变量取值方式，包罗javax.script、dns和url，导致可以执行任意代码或进行网络访问。
更新时间：	20220803

修改事件

事件名称：	HTTP_提权攻击_Apache_Shiro_v1.7.1以下_非授权访问[CVE-2020-17523][CNNVD-202102-238]
宁静类型：	宁静漏洞
事件描述：	ApacheShiro是一个强大且易用的Java宁静框架，它可以用来执行身份验证、授权、密码和会话管理。目前常见集成于种种应用中进行身份验证，授权等。对于ApacheShiro1.7.1之前的版本，当将ApacheShiro与Spring控制器一起使用时，攻击者特制请求可能会导致身份验证绕过。
更新时间：	20220803

事件名称：	HTTP_提权攻击_Elasticsearch_未授权访问
宁静类型：	宁静漏洞
事件描述：	ElasticSearch是一个基于Lucene的搜索服务器。它提供了一个漫衍式多用户能力的全文搜索引擎，基于RESTfulweb接口。Elasticsearch可能存在未授权访问漏洞。该漏洞导致，攻击者可以拥有Elasticsearch的所有权限�？梢远允萁腥我獠僮�。业务系统将面临敏感数据泄露、数据丢失、数据遭到破坏甚至遭到攻击者的勒索。
更新时间：	20220803

上一篇下一篇

7*24小时服务热线

400-624-3900

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

Copyright ? 东森平台版权所有京ICP备05032414号京公网安备11010802024551号