資安通告:02/28~03/06 資安弱點威脅彙整週報
資安通告:02/28~03/06 資安弱點威脅彙整週報 |
|
|
|
|
2022-03-09
|
|
|
風險等級: |
高度威脅 |
|
|
摘 要: |
各大廠牌軟硬體高風險弱點摘要 |
廠牌 |
軟硬體型號 |
弱點數量 |
說明 |
CVE ID |
jetbrains |
teamcity |
1 |
在2021.1.4 之前的 JetBrains TeamCity 中,GitLab 冒充身份驗證是可行的。 |
CVE-2022-24331 |
jetbrains |
teamcity |
1 |
在2021.2.1之前的JetBrains TeamCity中,可以在解析設定檔時使用XXE。 |
CVE-2022-24340 |
jetbrains |
youtrack |
1 |
2021.4.40426之前的JetBrains YouTrack,容易受到透過FreeMarker範本進行的SSTI(伺服器端範本注入)的攻擊。 |
CVE-2022-24442 |
|
|
|
|
|
|
|
影響系統: |
受影響廠牌如下:
|
|
|
|
|
|
|
解決辦法: |
詳細資訊請參考US-CERT網站 ( https://www.us-cert.gov/ncas/bulletins/sb22-066 ) |
|
|
|
|
|
|
細節描述: |
詳細資訊請參考US-CERT網站
( https://www.us-cert.gov/ncas/bulletins/sb22-066 ) |
|
|
|
|
|
|
參考資訊: |
US-CERT
|
|