漏洞风险提示(20230629)
免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表安天实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与安天实验室一律不予承担。1 plantuml 服务器端请求伪造漏洞(CVE-2023-3432)
一、漏洞描述:
PlantUML是一个开源项目,它可以根据文本描述快速生成UML图和其他类型的图表。
攻击者利用该漏洞可以对内网服务器、办公机进行端口扫描、资产扫描、漏洞扫描,发现服务器内部的可用端口和漏洞等。
二、风险等级:
高危
三、影响范围:
plantuml < 1.2023.9
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://github.com/plantuml/plantuml/releases
2 IBM Cloud Pak for Security (CP4S)信息泄露漏洞(CVE-2023-30993)
一、漏洞描述:
IBM Cloud Pak for Security (CP4S) 是一个开放的安全平台,可以在混合多云环境中更好地理解威胁、减轻风险并加快响应。
IBM Cloud Pak for Security (CP4S) 允许攻击者为一个用户提供有效的API密钥,从而访问另一个用户账户中的数据。
二、风险等级:
高危
三、影响范围:
Cloud Pak for Security (CP4S) 1.9.0.0 - 1.9.2.0
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://www.ibm.com/docs/en/cloud-paks/cp-security/1.10?topic=installing-upgrading-cloud-pak-security
3 Google Chrome V8类型混淆漏洞(CVE-2023-3420)
一、漏洞描述:
GV8是由Google开源的一个高性能JavaScript引擎,被广泛应用于各种JavaScript执行环境,如Chrome浏览器、Node.js等。
该漏洞为Chrome V8 JavaScript引擎中的类型混淆漏洞,此类漏洞会读取或写入超出缓冲区边界的内存,导致浏览器崩溃或任意代码执行。
二、风险等级:
高危
三、影响范围:
Chrome for Windows<114.0.5735.198
Chrome for Windows<114.0.5735.199
Chrome for Mac and Linux<114.0.5735.198
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://www.google.cn/chrome/
4 VMware vCenter Server越界写入漏洞(CVE-2023-20894)
一、漏洞描述:
vCenter Server是VMware vSphere虚拟化架构的核心管理组件,为ESXI主机和虚拟机提供管理服务,通过vCenter Server可以集中管理多台ESXI主机和虚拟机。
vCenter Server在DCERPC协议的实现中存在越界写入漏洞,对vCenter Server具有网络访问权的攻击者可以通过发送特制数据包来触发越界写入,从而导致内存损坏。
二、风险等级:
高危
三、影响范围:
VMware vCenter Server 8.0版本:< 8.0 U1b
VMware vCenter Server 7.0版本:< 7.0 U3m
VMware Cloud Foundation (vCenter Server) 5.x版本:< 8.0 U1b
VMware Cloud Foundation (vCenter Server) 4.x版本:< 7.0 U3m
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://www.vmware.com/security/advisories/VMSA-2023-0014.html
页:
[1]