一种面向混合云的安全平台提供可配置、预集成的软件组件,构建成全栈、融合的基础架构,支持跨混合云部署、管理与移动应用场景。
在近期的安全公告中,某安全产品披露了多处重要漏洞。厂商已于10月18日发布了安全更新以修复相关问题,以下为漏洞详情与影响信息。
漏洞详情
CVE-2021-22118 CVSS 7.3(高危):在 WebFlux 应用场景中存在缺陷,已验证的本地有身份认证的攻击者可能利用该缺陷获得更高权限。通过发送特制请求,攻击者可读取或修改应用中的文件,或通过多部分请求数据覆盖任意文件。
CVE-2021-27807 CVSS 5.5(中危):Apache PDFBox 容易受到因无限循环导致的拒绝服务攻击。诱使受害者打开经特制处理的 PDF 文件后,远程攻击者可能触发应用崩溃。
CVE-2021-27906 CVSS 5.5(中危):同样涉及 Apache PDFBox 的无限循环相关缺陷,诱使受害者打开特制 PDF 文件可导致拒绝服务。
CVE-2021-31811 CVSS 5.5(中危):在加载文件时因内存不足导致的拒绝服务风险。通过诱导受害者打开特制的 PDF 文件,可以远程触发服务不可用。
CVE-2021-31812 CVSS 5.5(中危):加载文件时发生的错误引发拒绝服务。通过诱使受害者打开特制的 PDF 文件,攻击者可使系统进入死循环。
受影响的产品与版本
受影响的产品版本范围包含某安全平台的特定组合,具体为特定版本线的组件版本。
解决方案
请将相关风险管理组件升级至较新版本以获得修复,官方建议升级路径为从当前版本升级至新版本以覆盖上述 CVE 的修复。
如需了解更多漏洞信息及升级方案,请访问官方网站的安全公告页。
(图片占位符)
