雷神众测漏洞周报2021.12.20-2021.12.26-4

声明

以下内容，均摘自于互联网，由于传播，利用此文所提供的信息而造成的任何直接或间接的后果和损失，均由使用者本人负责，雷神众测以及文章作者不承担任何责任。

雷神众测拥有该文章的修改和解释权。如欲转载或传播此文章，必须保证此文章的副本，包括版权声明等全部内容。声明雷神众测允许，不得任意修改或增减此文章内容，不得以任何方式将其用于商业目的。

目录

1. Apache HTTP Server多个漏洞

2. Laravel Framework反序列化漏洞

3. GoAhead文件上传漏洞

4. VMware vCenter Server文件上传漏洞

漏洞详情

1. Apache HTTP Server多个漏洞

漏洞介绍：

Apache HTTP Server（简称Apache），是Apache软件基金会的一个开放源代码的网页服务器，可以在大多数电脑操作系统中运行，由于其具有的跨平台性和安全性，被广泛使用，是最流行的Web服务器端软件之一。

漏洞危害：

CVE-2021-44224：Apache HTTP Server 2.4.51及更早版本的转发代理配置中可能存在空指针引用和服务端请求伪造风险，攻击者可通过构造恶意的HTTP请求触发服务器崩溃，或利用该漏洞访问服务端内部网络。

CVE-2021-44790：Apache HTTP Server 2.4.51及更早版本通过mod_lua解析多部分内容时可能出现缓冲区溢出，该漏洞可能被攻击者用于在目标服务器上执行任意代码。该模块默认不启用，未启用该模块的Apache HTTP Server不受该漏洞影响。

漏洞编号：

CVE-2021-44224

CVE-2021-44790

影响范围：

Apache HTTP Server <= 2.4.51

修复方案：

及时测试并升级到最新版本

来源：安恒信息应急响应中心

2. Laravel Framework反序列化漏洞

漏洞介绍：

Laravel Framework是Taylor Otwell个人开发者的一款基于PHP的Web应用程序开发框架。

漏洞危害：

Laravel v5.1存在安全漏洞，该漏洞源于组件MockeryGeneratorDefinedTargetClass包含一个反序列化漏洞，目前没有详细的漏洞细节提供。

漏洞编号：

CVE-2021-37298

影响范围：

Taylor Otwell Laravel Framework v5.1Google Chrome < 96.0.4664.110

修复方案：

及时测试并升级到最新版本

来源：CNVD

3. GoAhead文件上传漏洞

漏洞介绍：

GoAhead是美国Embedthis Software公司的一个开源的小型嵌入式 Web 服务器。

漏洞危害：

GoAhead存在文件上传漏洞，该漏洞源于在文件上传过滤器中过滤处理的不全。攻击者可利用此漏洞将不受信任的环境变量导入到脆弱的CGI脚本。 

漏洞编号：

CVE-2021-42342

修复建议：

及时测试并升级到最新版本或升级版本

来源：CNVD

4. VMware vCenter Server文件上传漏洞

漏洞介绍：

Vmware VMware vCenter Server是美国威睿（Vmware）公司的一套服务器和虚拟化管理软件。该软件提供了一个用于管理VMware vSphere环境的集中式平台，可自动实施和交付虚拟基础架构。

漏洞危害：

VMware vCenter Server存在文件上传漏洞，攻击者可利用该漏洞通过上传特制文件在vCenter Server上执行代码。

漏洞编号：

CVE-2021-22005

影响范围：

VMWare vCenter Server

修复建议：

及时测试并升级到最新版本

来源：CNVD

专注渗透测试技术

全球最新网络攻击技术

END