1、PHP版本
漏洞描述:在PHP设计时,忽略了Windows中对字符转换的Best-Fit特性,攻击者可构造恶意请求绕过CVE-2012-1823保护,从而无需登录即可执行任意PHP代码。
影响范围:PHP 8.3 < 8.3.8、PHP 8.2 < 8.2.20、PHP 8.1 < 8.1.29。
解决建议:官方已发布安全更新,建议升级至最新版本,若无法升级且运行于Windows平台,建议关闭php-cgi的使用。
2、Spring框架
漏洞描述:Spring远程命令执行漏洞(CVE-2022-22965)允许攻击者通过JDK模块机制绕过黑名单限制,实现远程命令执行。
影响范围:《Spring相关框架存在远程命令执行漏洞(CVE-2022-22965)》中的受影响组件和版本信息显示,所有低于5.3.18和5.2.20.RELEASE的Spring框架均存在该漏洞。
解决建议:用户应尽快排查并升级至最新版本,同时采用Scantist工具进行应急排查处理。
3、Apache Log4j2
漏洞描述:Apache Log4j2远程代码执行漏洞(CNVD-2021-95914)允许未经授权的攻击者远程执行代码,获得服务器控制权限。
影响范围:Log4j2组件版本为Log4j2.X≤Log4j组件版本均受影响。
解决建议:官方已发布补丁修复该漏洞,建议用户立即更新至最新版本,可以采取添加jvm启动参数、修改配置文件或限制应用对外访问等临时措施进行防护。
新版本漏洞涉及多个软件和组件,包括PHP、Spring框架和Apache Log4j2,这些漏洞的危害程度高,利用较为简单,且影响范围广泛,建议用户尽快根据官方建议进行升级或采取相应的缓解措施,以降低潜在的安全风险。
小伙伴们,上文介绍新版本漏洞的内容,你了解清楚吗?希望对你有所帮助,任何问题可以给我留言,让我们下期再见吧。
本文来源于互联网,如若侵权,请联系管理员删除,本文链接:https://www.9969.net/84138.html
