2.HAProxy请求走私漏洞

漏洞介绍：

HAProxy 是一种广泛使用的开源负载平衡器和基于 TCP 和 HTTP 的应用程序的反向代理。

漏洞危害：

该漏洞存在于HAProxy中，是一个请求走私漏洞。因为 HTTP/1 标头在某些情况下会无意中丢失，攻击者可利用该漏洞绕过 HAProxy 的标头处理，进而通过恶意设计的 HTTP 请求将 HTTP 请求走私到后端服务器，从而绕过安全控制并未经授权访问敏感数据。

漏洞编号：

CVE-2023-25725

影响范围：

HAProxy 2.0 < 2.0.31
HAProxy 2.2 < 2.2.29
HAProxy 2.4 < 2.4.22
HAProxy 2.5 < 2.5.12
HAProxy 2.6 < 2.6.9
HAProxy 2.7 < 2.7.3
HAProxy Enterprise 2.0r1 < 2.0r1-1.0.0-248.1534
HAProxy Enterprise 2.2r1 < 2.2r1-1.0.0-254.929
HAProxy Enterprise 2.4r1 < 2.4r1-1.0.0-285.1010
HAProxy Enterprise 2.5r1 < 2.5r1-1.0.0-285.653
HAProxy Enterprise 2.6r1 < 2.6r1-1.0.0-288.770
HAProxy ALOHA 12.5 < 12.5.18
HAProxy ALOHA 13.5 < 13.5.19
HAProxy ALOHA 14.0 < 14.0.11
HAProxy ALOHA 14.5 < 14.5.6
HAProxy Kubernetes Ingress Controller 1.7 < 1.7.12
HAProxy Kubernetes Ingress Controller 1.8 < 1.8.1
HAProxy Kubernetes Ingress Controller 1.9 < 1.9.3
HAProxy Enterprise Kubernetes Ingress Controller 1.7 < 1.7.12
HAProxy Enterprise Kubernetes Ingress Controller 1.8 < 1.8.11

修复方案：

及时测试并升级到最新版本或升级版本。

来源：360CERT

4.Google Chrome Sign-In代码执行漏洞

漏洞介绍：

Google Chrome是美国谷歌（Google）公司的一款Web浏览器。

漏洞危害：

Google Chrome Sign-In存在代码执行漏洞，该漏洞是由于免费登录后使用造成的。攻击者可利用该漏洞在系统上执行任意代码或导致拒绝服务。

漏洞编号：

CVE-2022-4191

影响范围：

Google Chrome <108.0.5359.71

修复建议：

及时测试并升级到最新版本。

来源：CNVD

END