如漏洞遭利用,可导致攻击者不仅访问受谷歌控制的环境,还可以高权限访问50多个内部主机。

安全研究员在 VirusTotal 平台上发现了一个严重漏洞,可被用于实现远程代码执行 (RCE)。

该漏洞已修复。研究员指出,该漏洞可被用于“VirusTotal 平台上远程执行命令,并获得对其多种扫描能力的访问权限”。

VirusTotal 是谷歌 Chronicle 安全子机构的组成部分,是一款恶意软件扫描服务,能够通过70多款第三方反病毒产品分析可疑文件和URLs 并检查病毒。

该高危漏洞的编号为CVE-2021-22204(CVSS 7.8分),是因ExifTool 对DjVu文件的不当处理引发的任意代码执行漏洞。该攻击方法通过平台的 web 用户接口上传 DjVu 文件,触发 ExifTool 中的高危远程代码执行缺陷的 exploit。ExifTool 是一款开源工具,用于读取和编辑图片和PDF文件中的EXIF元数据信息。目前维护人员已在2021年4月13日发布的安全更新中修复该漏洞。

研究人员指出,如漏洞遭利用,可导致攻击者不仅访问受谷歌控制的环境,还可以高权限访问50多个内部主机。

研究人员指出,“耐人寻味的是,每当我们上传包含新payload 的哈希的文件时,VirusTotal 就会将payload 转给其它主机。因此,我们不仅获得RCE,它还被谷歌服务器转发给谷歌内网、客户以及合作伙伴。”

研究人员指出,已在2021年4月13日通过谷歌的漏洞奖励计划报告该漏洞,随后漏洞修复。

这并非ExifTool 缺陷首次成为达成RCE的中转。去年,GitLab 修复一个严重漏洞CVE-2021-22205(CVSS:10分),因对用户提供图片验证不当而导致任意代码执行。

谷歌VirusTotal开源组件曝高危漏洞,可获取内网访问权限相关推荐

  1. 百度在美国遭集体起诉;iPhone 11 成苹果最畅销机型;OpenSSL 曝高危漏洞 | 极客头条...

    整理 | 屠敏 头图 | CSDN 下载自东方 IC 快来收听极客头条音频版吧,智能播报由标贝科技提供技术支持. 「极客头条」-- 技术人员的新闻圈! CSDN 的读者朋友们早上好哇,「极客头条」来啦 ...

  2. iPhone11因便宜销量超预期;三星手机曝高危漏洞;xUtils 3.8.3发布 | 极客头条

    快来收听极客头条音频版吧,智能播报由标贝科技提供技术支持. 「CSDN 极客头条」,是从 CSDN 网站延伸至官方微信公众号的特别栏目,专注于一天业界事报道.风里雨里,我们将每天为朋友们,播报最新鲜有 ...

  3. CVE-2018-8174漏洞复现及内网渗透攻击

    文章目录 说明 CVE-2018-8174漏洞简介 Persistence后门 环境搭建 拓扑图 Win server 2008 对Windows 7开启1433端口 内网攻击过程 1号机获得2号机的 ...

  4. 奇安信代码安全实验室帮助谷歌修复 Chrome 沙箱外高危漏洞,获官方致谢

    聚焦源代码安全,网罗国内外最新资讯! 奇安信代码安全实验室研究员为谷歌 Chrome发现一个"高危"级别的沙箱外漏洞 (CVE-2020-21106),第一时间报告并协助其修复漏洞 ...

  5. Rust 编程语言曝高危漏洞,可导致文件和目录遭删除

     聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 Rust 编程语言的维护人员发布安全更新,修复了一个高危漏洞 (CVE-2022-21658).该漏洞可导致恶意人员越权从易受攻击系统删除文件和 ...

  6. 谷歌警告:安卓再现高危漏洞 华为小米等可能被黑客完全控制

    该漏洞可以使攻击者完全控制至少18种不同型号的手机,包括华为.三星.小米等设备,连谷歌自家的Pixel系列手机也在劫难逃. 新智元报道 来源:arstechnica 编辑:张佳 [新智元导读]谷歌警告 ...

  7. 思科精睿系列交换机被曝高危漏洞,仅修复部分产品

     聚焦源代码安全,网罗国内外最新资讯! 作者:Lindsey O'Donnell 编译:奇安信代码卫士团队 思科 Systems 警告称,超过六款精睿系列交换机受一个高危漏洞影响,可导致远程未认证攻击 ...

  8. 安卓系统再曝高危漏洞!大部分手机都可能被黑客控制

      新智元报道   来源:arstechnica 编辑:张佳 [导读]谷歌警告:攻击者正在利用Android移动操作系统中的"零日漏洞"进行攻击,该漏洞可以使攻击者完全控制至少18 ...

  9. 思科路由器高危漏洞可导致攻击者完全访问小企业网络

     聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 思科小企业路由器中存在一个高危漏洞 (CVE-2022-20827),可导致"有耐心和位置适当的攻击者"在受影响设备上实现未 ...

最新文章

  1. android动态设置错误页面,Android中替换WebView加载网页失败时的页面
  2. Laravel的请求声明周期
  3. Android开发者珍藏必备【学习资料篇】
  4. 光纤传感器实验模块_飞秒激光制备异质光纤光栅的温度应变双参数传感器
  5. android微信分享之创建工程以及启动微信
  6. 计算机中国象棋书籍,[建议]中国的象棋永远不能被没有“思维”的电脑所代替(就目前的电脑象棋软件...
  7. SQL SERVER--单回话下的死锁
  8. 大数据hadoop培训总结
  9. idea安装svn插件
  10. CodeBlocks下载与安装
  11. 计算机与材料物理,南京邮电大学材料物理专业
  12. 天线匹配与人体之间的关系
  13. win10 企业版LTSC 激活方式
  14. python播放音频文件——playsound
  15. instead of触发器
  16. win10卸载软件_【电脑软件】win10自带浏览器|教你一招,如何完美将它卸载!
  17. Linux环境搭建 - update https://apt.repos.intel.com 报错
  18. win10系统如何关闭服务器,win10命令关闭服务器该怎么操作关闭?
  19. github标准pull request提交流程
  20. 命令行执行 mvn package 和常见mvn命令

热门文章

  1. 201521450014 网络对抗技术实验三 葛文宣
  2. RT-DETR的学习笔记
  3. python 题库自动答题_国家开放大学(国开)线上作业自动答题python-selenium
  4. 利用python从网易云喜欢歌单中获取适合跑步的歌曲
  5. 内存条的主要技术指标
  6. web前端(2)—— 前端技术介绍
  7. c语言旅馆信息管理系统,C语言旅馆信息管理系统.doc
  8. RUNOOB.COM学习的好网站
  9. https://c.runoob.com/examples/page/13
  10. 大规模数据处理的演变