• 我的位置:
  • 首頁
  • -
  • 漏洞預(yù)警
  • -
  • 應(yīng)用
  • -
    • Nginx NJS UAF漏洞CVE-2022-43286
    • CNNVD編號:未知
    • 危害等級: 高危 
    • CVE編號:CVE-2022-43286
    • 漏洞類型: UAF 漏洞(Use-After-Free)
    • 威脅類型:未知
    • 廠       商:未知
    • 漏洞來源:深信服
    • 發(fā)布時間:2023-03-20
    • 更新時間:2023-03-20

    漏洞簡介

    2022年10月31日,深信服安全團隊監(jiān)測到一則 Nginx 組件存在 UAF 漏洞的信息,漏洞編號:CVE-2022-43286,漏洞威脅等級:高危。

    該漏洞是由于 Nginx NJS 組件存在堆 UAF 漏洞,攻擊者可利用該漏洞構(gòu)造惡意數(shù)據(jù)對 njs_json_parse_iterator_call 函數(shù)進行非法內(nèi)存復(fù)制,最終造成程序拒絕服務(wù)。

    漏洞公示

    暫無

    參考網(wǎng)站

    https://nvd.nist.gov/vuln/detail/CVE-2022-43286

    受影響實體

    目前受影響的 Nginx NJS 版本:

    Nginx NJS < 0.7.4

    補丁


    解決方案

    圖片

    1.官方修復(fù)建議

    當(dāng)前官方已發(fā)布受影響版本的對應(yīng)補丁,建議受影響的用戶及時更新官方的安全補丁。鏈接如下:

    https://github.com/nginx/njs/commit/2ad0ea24a58d570634e09c2e58c3b314505eaa6a

    圖片

    2.深信服解決方案

    2.1 主動檢測

    支持對 Nginx NJS UAF漏洞 CVE-2022-43286的主動檢測,可批量快速檢出業(yè)務(wù)場景中該事件的受影響資產(chǎn)情況,相關(guān)產(chǎn)品如下:

    【深信服云鏡YJ】預(yù)計2022年11月15日發(fā)布檢測方案。

    【深信服漏洞評估工具TSS】預(yù)計2022年11月15日發(fā)布檢測方案。

    【深信服安全托管服務(wù)MSS】預(yù)計2022年11月15日發(fā)布檢測方案。