云基础架构与移动商务解决方案提供商发布了安全更新,修复了相关解决方案中发现的远程代码执行等重要漏洞。以下内容梳理了漏洞详情与升级要点,帮助用户快速了解风险与修复路径。
漏洞详情
1. CVE-2022-22954,CVSS 9.8,严重程度:高
相关产品中的一个服务器端模板注入漏洞,可能被具备网络访问权限的恶意行为者利用触发远程代码执行。
2. CVE-2022-22955、CVE-2022-22956,CVSS 9.8,严重程度:高
在 OAuth2 框架中存在两处身份验证绕过漏洞,攻击者通过暴露的端点绕过认证执行任意操作。
3. CVE-2022-22957、CVE-2022-22958,CVSS 9.1,严重程度:高
涉及工作区入口、身份管理与自动化部署组件的远程代码执行漏洞,攻击者如具备管理访问权限可通过恶意 JDBC URI 触发不可信数据反序列化,进而执行代码。
4. CVE-2022-22959,CVSS 8.8,严重程度:高
存在跨站点请求伪造漏洞,攻击者可利用 CSRF 欺骗用户对恶意 JDBC URI 进行验证,从而实施攻击。
5. CVE-2022-22960,CVSS 7.8,严重程度:重要
由于脚本中的权限控制不当,存在权限提升漏洞,具备本地访问权限的攻击者可提升至根用户权限。
6. CVE-2022-22961,CVSS 5.3,严重程度:中
由返回信息过多导致的信息泄露漏洞,具备远程访问权限的攻击者可能泄露目标主机名,利用该信息发起进一步攻击。
受影响的产品
相关组件集成的工作区入口、身份管理、自动化部署、云基础设施及生命周期管理平台等均在影响范围内。
解决方案
官方已发布修复版本,建议尽快升级至官方提供的修复版本,具体信息如下:
修复版本: https://kb.example.com/s/article/88099
解决方法: https://kb.example.com/s/article/88098
如需了解更多漏洞信息与升级,请访问官方网站的安全公告页面:
https://www.example.com/security/advisories.html
