本周重点关注漏洞包括Apache Hadoop 安全漏洞、Linux内核安全漏洞、WebSphere Application Server 安全漏洞、Hoosk CMS SQL注入漏洞、PHP 代码注入漏洞,漏洞影响范围较广,华云安建议相关用户做好资产自查与预防工作。
Apache Hadoop 安全漏洞
发布时间:2020年9月28日
Apache Hadoop被曝出存在安全漏洞,在Apache Hadoop 3.0.0-alpha2至3.0.0、2.9.0至2.9.2、2.8.0至2.8.5版本中启用Kerberos身份验证且未启用通过HTTP SPNEGO的情况下,攻击者可以利用此漏洞访问某些servlet。
情报来源:https://access.redhat.com/security/cve/cve-2018-11765
Linux内核安全漏洞
发布时间:2020年9月29日
2020年9月29日,AUSCERT发布安全公告,在Linux kernel 4.19版本存在安全漏洞。
情报来源:https://www.auscert.org.au/bulletins/ESB-2020.3341/
WebSphere Application Server 安全漏洞
发布时间:2020年9月29日
WebSphere Application Server存在安全漏洞,在IBM WebSphere Application Server 7.0、8.0、8.5和9.0等版本中可以允许具有特殊访问权限的本地用户从详细的技术错误消息中获取目标者的信息,造成信息泄露。
情报来源:
https://www.ibm.com/blogs/psirt/security-bulletin-websphere-application-server-is-vulnerable-to-an-information-exposure-vulnerability-cve-2020-4629/
Hoosk CMS SQL注入漏洞
发布时间:2020年9月30日
Hoosk CmS v1.8.0存在SQL注入漏洞。该漏洞源于基于数据库的应用缺少对外部输入SQL语句的验证。攻击者可利用该漏洞执行非法SQL命令。
情报来源:https://nvd.nist.gov/vuln/detail/CVE-2020-26042
PHP 代码注入漏洞
发布时间:2020年10月2日
PluXml 5.7中的class.plx.admin.php允许攻击者通过在Linux环境中修改配置文件来执行任意PHP代码。
情报来源:https://nvd.nist.gov/vuln/detail/CVE-2020-18185
华云安与您一起,时刻关注安全威胁。
华云安
华云安是一家面向网络空间安全领域,专注于漏洞研究、攻防对抗、产品研发、安全服务的高新技术企业。华云安拥有灵洞威胁与漏洞管理系统、灵刃智能攻防渗透系统等网络安全产品及服务,为政府、金融、能源、教育、医疗等行业,提供集网络安全情报采集分析能力、关键信息基础设施防御能力、网络安全反制能力于一体的新一代自适应网络安全漏洞管理解决方案。华云安致力于为新形势下的网络安全和关键信息基础设施保护作出自身的贡献!
来源:freebuf.com 0000-00-00 00:00:00 by: 华云安huaun
请登录后发表评论
注册