cve

根据其自我报告的版本编号，远端主机正在执行受到多个弱点影响的 Apache Tomcat 版本： - 依照预设，Tomcat 会自动部署置于主机 appBase 中的任何目录。这可导致通常受到一个或多个安全性限制保护的档案在没有安全性限制的情况下进行部署。(CVE-2009-2901) - 部署 WAR 档案时，系统不会检查 WAR 档案名称是否有目录遍历企图，这可导致攻击者删除主机工作目录的目前内容

这些更新可解决重大弱点，防止其可能允许攻击者控制受的影响系统。 若要确认您的系统所安装的 Adobe Flash Player 版本，请进入关于 Flash Player 页面，或是在 Flash Player 中执行的内容上按一下鼠标右键，然后从选单选择“关于 Adobe (或 Macromedia) Flash Player”。如果您使用多种浏览器，请对安装在系统中的每个浏览器均进行检查

Cisco发布公告修复了一个Cisco Common Service Platform Collector（CSPC）中存在的漏洞（CVE-2019-1723）。该漏洞源于系统中存在的一个具有固定密码的默认账户，攻击者可以通过该账户与密码直接远程登录受影响的设备，该账户不具备管理员权限。 当地时间6月20日，Cisco官方发布安全通告修复了多个不同程度的安全漏洞，其中包括5个严重漏洞

Atlassian Confluence是Atlassian公司出品的专业的企业知识管理与协同软件，可用于构建企业文库等。2021年8月26日Atlassian官方发布公告，披露了CVE-2021-26084 Atlassian Confluence 远程代码执行漏洞。2021年8月31日，互联网上公开了相关漏洞利用脚本，攻击者可在无需登录的情况下构造恶意请求，执行任意代码，控制服务器

Hackernews 编译，转载请注明出处： 趋势科技（Trend Micro）本周宣布发布安全补丁，以解决其Apex One端点安全产品中的多个漏洞，包括一个零日漏洞，跟踪为CVE-2022-40139（CVSS 3.0评分7.2），该漏洞正在被积极利用。 CVE-2022-40139漏洞是与回滚功能相关的不正确验证问题，代理可以利用该漏洞下载未经验证的回滚组件并执行任意代码。 趋势科技发布的公告表示：“我们已经确认，用于Apex One和Apex One SaaS的回滚功能的某些组件中存在不正确的验证漏洞

Hackernews 编译，转载请注明出处： 趋势科技（Trend Micro）本周宣布发布安全补丁，以解决其Apex One端点安全产品中的多个漏洞，包括一个零日漏洞，跟踪为CVE-2022-40139（CVSS 3.0评分7.2），该漏洞正在被积极利用。 CVE-2022-40139漏洞是与回滚功能相关的不正确验证问题，代理可以利用该漏洞下载未经验证的回滚组件并执行任意代码。 趋势科技发布的公告表示：“我们已经确认，用于Apex One和Apex One SaaS的回滚功能的某些组件中存在不正确的验证漏洞

Zoom用户需要尽早更新应用，以免受黑客攻击。如最近所公布的，黑客可以利用Zoom应用程序劫持会议。该漏洞允许攻击者窥探在线会议、收集数据、操纵消息和破坏会议

- Microsoft Office 不当泄漏其内存的内容时，存在资讯泄漏弱点。攻击者可利用此弱点，使用这些资讯危害使用者电脑或资料。(CVE-2020-1445) - 当 Microsoft Word 软件无法正确处理内存中的物件时，存在远端程式码执行弱点

周三，苹果发布了针对iOS、iPadOS、macOS、tvOS和watchOS的软件补丁，以解决影响其平台的一系列安全漏洞。 这包括至少37个漏洞，这些漏洞跨越iOS和macOS中的不同组件，从权限提升到任意代码执行，从信息泄露到拒绝服务。 其中最主要的是CVE-2022-2294，这是Google本月早些时候披露的WebRTC组件中的内存损坏漏洞，该漏洞在针对Chrome浏览器用户的真实攻击中被利用

据The Hacker News消息，中国台湾公司威联通（QNAP） 本周透露，旗下部分网络附加存储 (NAS) 设备正受到最近披露的开源 OpenSSL 加密库中的一个漏洞影响。 据报道，该漏洞被跟踪为CVE-2022-0778（CVSS 评分：7.5），是OpenSSL 中的一个无限循环漏洞，其原因与解析安全证书以触发拒绝服务条件，并远程使未打补丁的设备崩溃时出现的错误有关。如果被利用，该漏洞允许攻击者进行拒绝服务攻击