Nginx NJS 堆UAF漏洞(CVE-2022-43286)
威胁对抗指挥中心 https://sec.sangfor.com.cn/security-vulnerability/detail?vuln_sfv=SF_2022_60192&lang=ZH-CN
高危
Nginx NJS 堆UAF漏洞(CVE-2022-43286)攻击类型 : 拒绝服务
披露时间 : 2022-10-31
更新时间 : 2022-10-31
CVE ID : CVE-2022-43286
CNVD ID :
CNNVD ID :
Bugtraq ID :
基本信息
漏洞披露
漏洞分析
漏洞验证 (PoC)
漏洞利用 (EXP)
漏洞介绍
2022年10月31日,深信服安全团队监测到一则Nginx组件存在 UAF漏洞的信息,漏洞编号:CVE-2022-43286,漏洞威胁等级:高危。该漏洞是由于Nginx NJS组件存在堆UAF漏洞,攻击者可利用该漏洞构造恶意数据对njs_json_parse_iterator_call函数进行非法内存复制,最终造成拒绝服务。
影响版本
Nginx NJS < 0.7.4
解决方案
1. 当前官方已发布受影响版本的对应补丁,建议受影响的用户及时更新官方的安全补丁。链接如下: https://github.com/nginx/njs/commit/2ad0ea24a58d570634e09c2e58c3b314505eaa6a
参考链接
【漏洞通告】Nginx NJS UAF漏洞CVE-2022-43286 https://mp.weixin.qq.com/s/ybfYgFHvwoakYzqPQeQbQA
漏洞名称:
Nginx NJS UAF漏洞(CVE-2022-43286)
组件名称:
Nginx NJS
影响范围:
Nginx NJS < 0.7.4
漏洞类型:
UAF 漏洞(Use-After-Free)
利用条件:
1、用户认证:未知
2、前置条件:默认配置
3、触发方式:未知
综合评价:
<综合评定利用难度>:未知。
<综合评定威胁等级>:高危,能造成拒绝服务。
【推荐】国内首个AI IDE,深度理解中文开发场景,立即下载体验Trae
【推荐】编程新体验,更懂你的AI,立即体验豆包MarsCode编程助手
【推荐】抖音旗下AI助手豆包,你的智能百科全书,全免费不限次数
【推荐】轻量又高性能的 SSH 工具 IShell:AI 加持,快人一步
· Manus重磅发布:全球首款通用AI代理技术深度解析与实战指南
· 被坑几百块钱后,我竟然真的恢复了删除的微信聊天记录!
· 没有Manus邀请码?试试免邀请码的MGX或者开源的OpenManus吧
· 园子的第一款AI主题卫衣上架——"HELLO! HOW CAN I ASSIST YOU TODAY
· 【自荐】一款简洁、开源的在线白板工具 Drawnix
2020-10-31 知乎社区核心业务 Golang 化实践 - 知乎 https://zhuanlan.zhihu.com/p/48039838
2018-10-31 Network Security Services If you want to add support for SSL, S/MIME, or other Internet security standards to your application, you can use Network Security Services (NSS) to implement all your securi
2018-10-31 new 运算符创建一个用户定义的对象类型的实例或具有构造函数的内置对象的实例。
2018-10-31 AJAX Form Submit Framework 原生js post json
2018-10-31 golang 热更新技巧 负载均衡才是正道啊
2018-10-31 属于同一进程的所有线程都具有相同的地址空间
2018-10-31 页面的日志服务 web页面渲染 服务 ; 服务耦合带来的问题