就有可用的漏洞 漏洞详细信息在中当标记没有相应的命名空间属性默认的结果类型将在请求中将未过滤的字符串作为命令传递。此外没有预设操作或值属性的标签可以通过将恶意代码注入缺失的属性来操纵然后将其作为执行的命令传递给。迫切需要采取的行动尽快升级到版本或。还声明以下配置更改可以缓解漏洞这应该是组织可以升级之前的临时解决方法验证您是否为底层配置中的所有定义结果设置了命名空间如果适用。
验证您是否为中的所有标记设置了值或操作。只有当它们的上层操作配置没 南非 WhatsApp 号码列表 有或通配符命名空间时才需要两者。的研究人员建议可能存在其他攻击方法并且这些配置要求可能无法阻止攻击。识别受影响的系统月日更新未经身份验证的远程检查插件是一个远程插件它将尝试利用该漏洞并从远程主机向扫描器主机发送回应请求以验证是否成功利用。启用正确的扫描测试需要以下步骤首先在评估常规设置下启用扫描仪以执行全面测试。其次在评估设置中启用应用程序扫描。
请务必使用适当的位置配置扫描以开始抓取应用程序。在评估设置的应用程序部分定义爬虫的开始爬行位置如下图突出显示。最后对于高度分段和隔离的网络目标能够扫描器的直接非常重要。这在子网和容器化应用程序可能会干扰插件从目标发送到扫描器以验证盲远程代码执行漏洞是否存在的通信的云环境中尤为重要。注意由于漏洞的性质此插件无法在扫描器池中运行。鼓励客户使用自己的本地扫描仪运行扫描。经过身份验证的本地检查插件可用于使用凭据和使用凭据。