5.16

2022

2022年5月关于微软多个产品高危漏洞的通告

近日,微软官方发布了多个安全漏洞的公告,其中微软产品本身漏洞75个,涉及Windows、Active Directory、Print Spooler、Remote Desktop Client等广泛使用的产品。包括Microsoft Windows LDAP 输入验证错误漏洞(CNNVD-202205-2869、CVE-2022-22012)、Microsoft Windows Network File System 输入验证错误漏洞(CNNVD-202205-2781、CVE-2022-26937)等多个漏洞。成功利用上述漏洞的攻击者可以在目标系统上执行任意代码、获取用户数据,提升权限等。微软多个产品和系统受漏洞影响。目前,微软官方已经发布了漏洞修复补丁,有孚建议用户及时确认是否受到漏洞影响,尽快采取修补措施。

4.18

2022

2022年4月关于微软多个产品高危漏洞的通告

4月12日,微软发布了2022年4月份的月度例行安全公告,修复了多款产品存在的103个安全漏洞。利用这些漏洞,攻击者可以绕过安全功能限制,获取敏感信息,提升权限,执行远程代码,或发起拒绝服务攻击等。有孚云提醒广大Microsoft用户尽快下载补丁更新,避免引发漏洞相关的网络安全事件。

4.18

2022

【漏洞通告】Apache Struts2远程代码执行漏洞CVE-2021-31805

近日,Apache Struts2远程代码执行漏洞的信息,漏洞编号:CVE-2021-31805,漏洞威胁等级:高危。该漏洞是由于由于对CVE-2020-17530的修复不完整导致。对此,安识科技建议广大用户及时升级到安全版本,并做好资产自查以及预防工作,以免遭受黑客攻击。

4.02

2022

【漏洞通告】Spring Framework远程代码执行漏洞(CNVD-2022-23942)

2022年3月30日,Spring框架曝出RCE 0day漏洞,国家信息安全漏洞共享平台(CNVD)已收录了Spring框架远程命令执行漏洞(CNVD-2022-23942),为Spring framework远程代码执行漏洞(CVE-2010-1622)的绕过利用,但影响范围更为广泛,官方已于3.31号下午发布了5.2.20.RELEASE与5.3.18版本修复此漏洞,目前PoC已公开,请相关用户尽快采取措施进行排查与防护。考虑到Spring框架的广泛应用,漏洞被评级为危险。

3.23

2022

2022年3月关于微软多个产品高危漏洞的通告

近日,微软官方发布了多个安全漏洞的公告,其中微软产品本身漏洞72个,影响到微软产品的其他厂商漏洞2个。包括OpenSSL 缓冲区错误漏洞(CNNVD-202108-1945、CVE-2021-3711)、Microsoft WindowsMedia Foundation权限许可和访问控制问题漏洞(CNNVD-202108-841、CVE-2021-36927)等多个漏洞。成功利用上述漏洞的攻击者可以在目标系统上执行任意代码、获取用户数据,提升权限等。微软多个产品和系统受漏洞影响。目前,微软官方已经发布了漏洞修复补丁,建议用户及时确认是否受到漏洞影响,尽快采取修补措施。

3.23

2022

2022年2月关于微软多个产品高危漏洞的通告

近日,微软官方发布了包括MicrosoftHyper-V 权限许可等多个安全漏洞公告。成功利用本次漏洞的攻击者可以在目标系统上执行任意代码、获取用户数据,提升权限等。微软多个产品和系统受漏洞影响。目前,微软官方已经发布了漏洞修复补丁,建议用户及时确认是否受到漏洞影响,尽快采取修补措施。

3.09

2022

【漏洞通告】Dirty Pipe – Linux 内核本地提权漏洞

CVE-2022-0847于2022-03-07公开披露,发现者Max Kellermann研究员将该漏洞命名为Dirty Pipe(脏管道)。该漏洞是存在于Linux内核5.8及之后版本中的本地提权漏洞。攻击者通过利用此漏洞,可覆盖重写任意可读文件中的数据,从而可将普通权限的用户提升到特权root。CVE-2022-0847 的漏洞原理类似于 CVE-2016-5195 脏牛漏洞(Dirty Cow),但它更容易被利用。漏洞作者将此漏洞命名为“Dirty Pipe”。

1.28

2022

【漏洞通告】2022年1月Linux Polkit 权限提升漏洞(CVE-2021-4034)的通告

1月25日,研究人员公开披露了在 polkit 的 pkexec 中发现的一个权限提升漏洞(CVE-2021-4034 ,也称PwnKit),它存在于所有主流的 Linux 发行版的默认配置中。受影响版本的 pkexec 无法正确处理调用参数计数,最终尝试将环境变量作为命令执行,攻击者可以通过修改环境变量来利用此漏洞,诱使 pkexec 执行任意代码,从而导致将本地权限提升为root。

12.28

2021

2021年12月关于微软多个产品高危漏洞通告

近日,微软官方发布了多个安全漏洞的公告,包括Microsoft Defender 代码注入漏洞(CNNVD-202112-1162、CVE-2021-43882)、Microsoft Office 代码注入漏洞(CNNVD-202112-1233、CVE-2021-43905)等67个漏洞。成功利用上述漏洞的攻击者可以在目标系统上执行任意代码、获取用户数据,提升权限等。微软多个产品和系统受漏洞影响。目前,微软官方已经发布了漏洞修复补丁,建议用户及时确认是否受到漏洞影响,尽快采取修补措施。

12.28

2021

2021年12月关于Apache HTTP Server 多个安全漏洞的通告

近日,国家信息安全漏洞库(CNNVD)收到关于Apache HTTP Server 代码问题漏洞(CNNVD-202112-1578、CVE-2021-44224)和Apache HTTP Server 缓冲区错误漏洞(CNNVD-202112-1579、CVE-2021-44790)情况的报送。成功利用漏洞的攻击者,可以构造恶意数据对目标服务器进行攻击,进而执行任意代码。Apache HTTP Server 2.4.51及其以下版本均受此漏洞影响。目前,Apache官方已经发布了版本更新修复了该漏洞,建议用户及时确认产品版本,尽快采取修补措施。