雷神众测漏洞周报2022.6.20-2022.6.26
声明
以下内容,均摘自于互联网,由于传播,利用此文所提供的信息而造成的任何直接或间接的后果和损失,均由使用者本人负责,雷神众测以及文章作者不承担任何责任。
雷神众测拥有该文章的修改和解释权。如欲转载或传播此文章,必须保证此文章的副本,包括版权声明等全部内容。声明雷神众测允许,不得任意修改或增减此文章内容,不得以任何方式将其用于商业目的。
目录
1.Oracle JDeveloper ADF Faces 远程代码执行漏洞
2.Xiaomi Router AX3600命令注入漏洞
3.Microsoft DFSCoerce域控提权漏洞
4.Cisco Wireless LAN Controller身份验证绕过漏洞
漏洞详情
1.Oracle JDeveloper ADF Faces 远程代码执行漏洞
漏洞介绍:
Oracle ADF Faces 是一组超过 150 个支持 Ajax 的 JavaServer Faces (JSF) 组件以及一个完整的框架,可让用户为 Java EE 应用程序构建更丰富的 Web 用户界面。
漏洞危害:
Oracle JDeveloper ADF Faces是Oracle Fusion Middleware 中的一个组件。该漏洞是由不可信数据的反序列化引起的,未经身份认证的远程攻击者可利用该漏洞在受影响的目标服务器中执行任意代码,最终接管服务器。
漏洞编号:
CVE-2022-21445
影响范围:
Oracle ADF Faces 12.2.1.3.0
Oracle ADF Faces 12.2.1.4.0
修复方案:
及时测试并升级到最新版本或升级版本
来源:360CERT
2.Xiaomi Router AX3600命令注入漏洞
漏洞介绍:
Xiaomi router AX3600是中国Xiaomi公司的一款路由器。
漏洞危害:
Xiaomi Router AX3600 1.1.15之前存在命令注入漏洞,该漏洞源于缺乏对传入数据的检查,攻击者可利用漏洞执行代码。
漏洞编号:
CVE-2020-14111
影响范围:
Xiaomi AX3600 <1.1.15
修复建议:
及时测试并升级到最新版本或升级版本
来源:CNVD
3.Microsoft DFSCoerce域控提权漏洞
漏洞介绍:
Windows Server是微软在2003年4月24日推出的Windows的服务器操作系统,其核心是Microsoft Windows Server System(WSS)。
漏洞危害:
Microsoft DFSCoerce存在域控提权漏洞,攻击者可利用漏洞通过向AD CS请求域控主机的证书,借助Kerberos的证书认证扩展实现域内提权。
影响范围:
Microsoft Windows Server
修复建议:
及时测试并升级到最新版本或升级版本
来源:CNVD
4.Cisco Wireless LAN Controller身份验证绕过漏洞
漏洞介绍:
Cisco Wireless LAN Controller(WLC)是美国思科(Cisco)公司的一款无线局域网控制器产品。该产品在无线局域网中提供安全策略、入侵检测等功能。
漏洞危害:
Cisco Wireless LAN Controller存在身份验证绕过漏洞,攻击者可利用该漏洞使用精心制作的凭据绕过身份验证并以管理员身份登录设备。
漏洞编号:
CVE-2022-20695
影响范围:
Cisco Cisco Wireless LAN Controller 8.10.151.0
Cisco Cisco Wireless LAN Controller 8.10.162.0
修复方案:
及时测试并升级到最新版本或升级版本
来源:CNVD
专注渗透测试技术
全球最新网络攻击技术