• 产品与解决方案
  • 行业解决方案
  • 服务
  • 支持
  • 合作伙伴
  • 新华三人才研学中心
  • 关于我们

漏洞库 SEC-IPS-R1.2.402 版本

【发布时间:2022-04-08】

附件下载

版本号
SEC-IPS-R1.2.402_EN

更新时间
2022-04-06

更新攻击列表

New signatures (5):
------------------------
9181 CVE-2022-22947_Spring_Cloud_Gateway_Actuator_API_SpEL表达式注入命令漏洞
---- Category: Vulnerability
---- CVE: CVE-2022-22947
---- BID:
---- Description:
---- Spring Cloud Gateway是Spring Cloud的一个全新项目,该项目是基于 Spring Framework 和 Spring
---- Boot 构建的 API 网关,它旨在为微服务架构提供一种简单、有效、统一的 API 路由管理方式。
---- 其3.1.0及3.0.6版本(包含)以前存在一处SpEL表达式注入漏洞,当攻击者可以访问Actuator API
---- 的情况下,将可以利用该漏洞执行任意命令。

9183 CVE-2022-22965_Spring_Framework_Spring-Bean远程代码执行漏洞
---- Category: Vulnerability
---- CVE: CVE-2022-22965
---- BID:
---- Description:
---- Spring是Java EE编程领域的一个轻量级开源框架,提供了功能强大IOC、AOP及Web MVC等功能。
---- 在Spring框架的JDK9及以上版本中,远程攻击者可在满足特定条件的基础上,通过框架的参数绑
---- 定功能获取AccessLogValve对象并注入恶意字段值,触发pipeline机制,从而在任意路径下写入
---- 文件。

9185 通达OAv11.7后台服务端请求伪造Redis写入漏洞
---- Category: Vulnerability
---- CVE:
---- BID:
---- Description:
---- 通达OA在V11.7及之前版本中存在设计缺陷,攻击者通过精心构造的HTTP请求获取在线管理员用户Cookie
---- 信息,从而使用Cookie凭证登录后台管理系统并利用SSRF漏洞读取内置的Redis服务密码进一步利
---- 用写入Webshell。

9184 CVE-2022-24112_Apache_APISIX远程命令执行漏洞
---- Category: Vulnerability
---- CVE: CVE-2022-24112
---- BID:
---- Description:
---- Apache Apisix是美国阿帕奇(Apache)基金会的一个云原生的微服务API网关服务。该软件基于 OpenResty
---- 和 etcd 来实现,具备动态路由和插件热加载,适合微服务体系下的 API 管理。Apache APISIX
---- 中存在安全漏洞,该漏洞源于产品的batch-requests插件未对用户的批处理请求进行有效限制。
---- 攻击者可通过该漏洞绕过Admin Api的限制。

9182 CVE-2022-22963_Spring-Cloud-Function_SPEL表达式注入漏洞
---- Category: Vulnerability
---- CVE: CVE-2022-22963
---- BID:
---- Description:
---- Spring Cloud Function 是基于 Spring Boot 的函数计算框架,其抽象出所有传输细节和基础架
---- 构,允许开发人员保留所有熟悉的工具和流程,并专注于业务逻辑。该漏洞是由于Spring Cloud Function
---- 的RoutingFunction类未能正确处理用户发送的数据,导致其apply方法错误地将请求头中的spring.cloud.function.routing-expression
---- 的参数识别为SPEL表达式,未经身份验证的恶意攻击者通过发送带有恶意命令的请求数据,能够
---- 在目标服务器上执行任意代码。


Modified signatures (0):
------------------------

Removed signatures (0):
------------------------

更新协议列表

New protocols (0):
------------------------

Modified protocols (1):
------------------------

Removed protocols (0):
------------------------

 

 
新华三官网
联系我们