漏洞风险提示(20230725)
免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表安天实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与安天实验室一律不予承担。1 Jira plugin STAGIL Navigation 目录遍历漏洞(CVE-2023-26256)
一、漏洞描述:
Jira 2.0.52之前的“STAGIL Navigation for Jira-Menu&Themes”插件存在目录遍历漏洞。通过将fileName参数修改为snjFooterNavigationConfig端点,可以遍历和读取文件系统。
二、风险等级:
高危
三、影响范围:
Jira <= 2.0.52
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://www.atlassian.com/software/jira
2 Zyxel ATP 命令注入漏洞(CVE-2023-34141)
一、漏洞描述:
Zyxel ATP 存在命令注入漏洞。如果攻击者可以欺骗授权管理员提前将其IP地址添加到托管AP列表中,则可以允许未经身份验证的基于LAN的攻击者在受影响的设备上执行一些操作系统命令。
二、风险等级:
高危
三、影响范围:
5.00 <= ATP series firmware <= 5.36 Patch 2
5.00<= USG FLEX series firmware <= 5.36 Patch 2
5.00<= USG FLEX 50(W) series firmware <= 5.36 Patch 2
5.00<= USG20(W)-VPN series firmware <= 5.36 Patch 2
5.00<= VPN series firmware <= 5.36 Patch 2
6.10(AAIG.0)<= NXC2500 firmware <= 6.10(AAIG.3)
6.10(AAIG.0)<= NXC5500 firmware <= 6.10(AAIG.3)
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://www.zyxel.com/global/en/support/security-advisories/zyxel-security-advisory-for-multiple-vulnerabilities-in-firewalls-and-wlan-controllers
3 Ap Page Builder SQL 注入漏洞(CVE-2023-3743)
一、漏洞描述:
低于1.7.8.2版本的Ap Page Builder可能允许远程攻击者向product_one_img参数发送特制的SQL查询,以检索存储在数据库中的信息。
二、风险等级:
高危
三、影响范围:
Ap Page Builder < 1.7.8.2
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://www.leotheme.com/module/prestashop-modules/699-ap-page-builder-prestashop-module.html
4 Apache Shiro身份验证绕过漏洞(CVE-2023-34478)
一、漏洞描述:
Apache Shiro是一个强大且易用的Java安全框架,它具有身份验证、访问授权、数据加密、会话管理等功能。Apache Shiro版本1.12.0之前和2.0.0-alpha-3 之前容易受到路径遍历攻击,当与基于非规范化请求路由请求的API或其他web框架一起使用时,可能导致身份验证绕过。
二、风险等级:
高危
三、影响范围:
Apache Shiro < 1.12.0
Apache Shiro < 2.0.0-alpha-3
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://github.com/apache/shiro/tags
页:
[1]