漏洞风险提示(20230529)
免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表安天实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与安天实验室一律不予承担。1 CodeIgniter4 远程代码执行漏洞(CVE-2023-32692)
一、漏洞描述:
CodeIgniter4是一个用于开发PHP网站的应用程序开发框架。
CodeIgniter4 在 4.3.5 版本之前存在远程命令执行漏洞。该漏洞存在于Validation库中,在使用验证占位符时将会导致攻击者执行任意代码,并且在控制器中的验证方法和模型内的验证也存在同样的漏洞。
二、风险等级:
高危
三、影响范围:
CodeIgniter4 < 4.3.5
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://github.com/codeigniter4/CodeIgniter4/releases/tag/v4.3.5
2 Barracuda Email Security Gateway 远程命令注入漏洞(CVE-2023-2868)
一、漏洞描述:
Barracuda Email Security Gateway 是一款电子邮件安全网关设备,支持多种防护功能,如反垃圾邮件、反病毒、反钓鱼等。该漏洞是由于对 .tar 文件(磁带归档)的处理不完善,导致攻击者可以通过特定格式的文件名,触发远程命令注入漏洞,从而在设备上以 Email Security Gateway 产品的权限执行任意系统命令。
二、风险等级:
高危
三、影响范围:
5.1.3.001 <= Barracuda Email Security Gateway <= 9.2.0.006
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://status.barracuda.com/incidents/34kx82j5n4q9
3 ZLMediaKit 目录遍历漏洞(CVE-2023-31861)
一、漏洞描述:
ZLMediaKit 是一款基于C++的开源流媒体服务框架,可用于构建高性能、低延迟、稳定可靠的音视频直播/点播服务。它提供了常见的媒体协议支持,如RTSP/RTP/RTMP/HLS/HTTP-FLV等,并支持多路并发推流和拉流处理。
ZLMediaKit 在 4.0 版本存在目录遍历漏洞。攻击者可以利用该漏洞获取用户敏感信息并进行恶意操作,包括监控摄像头图像。
二、风险等级:
高危
三、影响范围:
ZLMediaKit 4.0
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://github.com/ZLMediaKit/ZLMediaKit
4 IceCMS 信息泄露(CVE-2023-33355)
一、漏洞描述:
IceCMS 是一个基于 Spring Boot + Vue 前后端分离的内容管理系统。
IceCMS 在 1.0 版本中存在信息泄露。未经授权的攻击者可以访问特定的API接口,获取全站用户的个人信息。
二、风险等级:
高危
三、影响范围:
IceCMS 1.0
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://github.com/Thecosy/IceCMS
页:
[1]