Control Web Panel中严重程度为9.8的高危漏洞正在被积极利用中

ControlWebPanel中严重程度为9.8的高危漏洞正在被积极利用中该漏洞被追踪为CVE-2022-44877。它是由GaisCyberSecurity的NumanTürle发现的，并在10月的0.9.8.1147版本中打了补丁。然而，通知直到本月初才公开，这使得一些用户可能仍然没有意识到这种威胁。安全公司GreyNoise提供的数据显示，一系列针对ControlWebPanel的攻击从1月7日开始，此后慢慢增加，最近一轮的攻击持续到周三。该公司说，这些漏洞来自位于美国、荷兰和泰国的四个独立IP地址。Shadowserver显示，大约有38000个IP地址在运行ControlWebPanel，最流行的地方是欧洲，其次是北美和亚洲。CVE-2022-44877的严重性评级为9.8，满分为10，危害程度可见一斑。"Bash命令可以被运行，因为双引号被用来向系统记录不正确的条目，"该漏洞的咨询报告称。因此，未经认证的黑客可以在登录过程中执行恶意命令。据DailySwig报道，该漏洞存在于/login/index.php组件中，由于CWP在记录不正确的条目时使用了错误的结构，导致该严重漏洞的产生。该结构是：echo"incorrectentry,IPaddress,HTTP_REQUEST_URI">>/blabla/wrong.log。"由于请求URI来自用户，而且你可以看到它在双引号内，所以有可能运行$(blabla)这样的命令，这是一个bash功能，"Türle表示。考虑到利用的简易性和严重性，以及可用的利用代码，使用ControlWebPanel的组织应确保他们运行的是0.9.8.1147或更高版本。...PC版：https://www.cnbeta.com.tw/articles/soft/1339197.htm手机版：https://m.cnbeta.com.tw/view/1339197.htm

在Telegram中查看

相关推荐

政府支持的黑客正在利用 WinRAR 中的已知漏洞

政府支持的黑客正在利用WinRAR中的已知漏洞如果你正在使用压缩工具WinRAR，那么建议是时候更新到最新版本了。最近几周，谷歌的威胁分析小组(TAG)观察到多个政府支持的黑客组织正在利用WinRAR中的已知漏洞CVE-2023-38831。2023年8月，RARLabs发布了WinRAR的更新版本(版本6.23)，修复了多个与安全相关的错误，其中一个错误是CVE-2023-38831逻辑漏洞。虽然补丁已经发布，但许多用户并没有更新，所以仍然容易受到攻击。WinRAR版本6.24和6.23都包含安全漏洞的修复程序，但该应用没有自动更新功能，因此你必须手动下载并安装补丁。——

谷歌正在为其Chrome浏览器的两个漏洞发布修复程序，包括一个已知正在被利用的漏洞

谷歌正在为其Chrome浏览器的两个漏洞发布修复程序，包括一个已知正在被利用的漏洞该公司本周发布的紧急更新影响到其Chrome浏览器的近30亿用户，以及那些使用其他基于Chromium的浏览器，如微软Edge、Brave和Vivaldi。这是谷歌今年不得不为Chrome浏览器发布的第三个此类紧急更新。其中一个缺陷是一个被追踪为CVE-2022-1364的类型混淆漏洞，这是一个高严重性的零日漏洞，正被攻击者积极滥用。在类型混淆漏洞中，程序将使用一种类型分配资源，如指针或对象，但随后将使用另一种不兼容的类型访问该资源。在某些语言中，如C和C++，该漏洞会导致越界内存访问。这种不兼容会导致浏览器崩溃或引发逻辑错误。它有可能被利用来执行任意代码。——theregister

CISA警告美国政府机构积极修补正在被利用的Android驱动程序

CISA警告美国政府机构积极修补正在被利用的Android驱动程序CISA要求联邦机构修补ArmMaliGPU内核驱动程序特权升级漏洞，该漏洞被添加到其主动利用漏洞列表中，并在本月的Android安全更新中得到解决。该漏洞跟踪编号为CVE-2021-29256，是一个使用后释放弱点，允许攻击者通过对GPU内存进行不当操作来升级为根权限或访问有针对性的Android设备上的敏感信息。相关公告：消息来源：投稿：@ZaiHuaBot群组：@ZaiHuaChat频道：@TestFlightCN

Curl 将于10月11日修复一个严重程度为“HIGH”安全漏洞

Curl将于10月11日修复一个严重程度为“HIGH”安全漏洞10月11日，curl将推出新版本8.4.0。该更新将修复一个严重程度为HIGH等级的安全漏洞。这不是什么普通的错误。据维护人员称，这可能是他们长期以来见过的最严重的curl安全问题。有关漏洞的具体信息在发布前仍处于保密状态，预计于10月11日06:00UTC时间发布。已知信息：CVE-2023-38545：严重性HIGH（同时影响libcurl和curl工具）CVE-2023-38546：严重性LOW（仅影响libcurl，不影响工具）详细信息：https://github.com/curl/curl/discussions/12026

Google发布Chrome 105稳定版更新：修复高危零日漏洞

Google发布Chrome105稳定版更新：修复高危零日漏洞如果你习惯使用Chrome浏览器上网，那么小编推荐你尽快检查下更新。在Google推出的更新中修复了追踪编号为CVE-2022-3075的高危零日漏洞，目前已经有证据表明有黑客利用该漏洞执行攻击。在部分匿名用户于8月30日报告该问题之后，Google立即着手修复该问题。安装本次更新之后，Chrome版本号升至为105.0.5195.102，这也是2022年Google修复的第6个Chrome零日漏洞。此前修复的5个零日漏洞分别为CVE-2022-0609,CVE-2022-1096,CVE-2022-1364,CVE-2022-2294和CVE-2022-2856。目前，关于该漏洞的信息仍然有限，涉及Mojo中的“数据验证不足”。尽管如此，一旦部署完成并且所有用户都免受攻击，Google将发布有关错误详细信息和链接的附加声明。更新将需要几天到几周的时间才能自动推广到每个用户，但您可以通过转到Chrome菜单>帮助>关于GoogleChrome手动完成。PC版：https://www.cnbeta.com/articles/soft/1313085.htm手机版：https://m.cnbeta.com/view/1313085.htm

Google Chrome v126.0.6478.114/.115正式版发布修复4个高危安全漏洞

GoogleChromev126.0.6478.114/.115正式版发布修复4个高危安全漏洞下面是此次更新的漏洞概览：高危安全漏洞：CVE-2024-6100，为JavaScriptV8引擎中的类型混淆问题，该漏洞由安全研究人员@0x10n提交，漏洞奖金为20,000美元高危安全漏洞：CVE-2024-6101，为WebAssembly中的不适当实现，该漏洞由安全研究人员@ginggilBesel报告，漏洞奖金为7,000美元高危安全漏洞：CVE-2024-6102，Dawn中的越界内存访问，该漏洞由安全研究人员@wgslfuzz报告，漏洞奖金待定高危安全漏洞：CVE-2024-6103，Dawn中的Use-after-Free问题，该漏洞由安全研究人员@wgslfuzz报告，漏洞奖金待定除了四个外部安全研究人员反馈的高危漏洞外，谷歌内部还发现了两个漏洞并通过此版本进行修复，不过这两个漏洞的细节谷歌并没有提供，也没有或者不需要分配CVE编号。使用Chrome浏览器的用户请转到关于页面检查更新，亦可通过蓝点网文件下载服务器获取此次更新的离线安装包进行覆盖升级：https://dl.lancdn.com/landian/soft/chrome/m/...PC版：https://www.cnbeta.com.tw/articles/soft/1435302.htm手机版：https://m.cnbeta.com.tw/view/1435302.htm

🔍 发送关键词来寻找群组、频道或视频。

启动SOSO机器人