漏洞风险提示(20230807)
免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表安天实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与安天实验室一律不予承担。1 HCL Unica Platform XXE漏洞(CVE-2023-37497)
一、漏洞描述:
HCL Unica Platform 是一个云原生的、集成的企业营销自动化平台。
HCL Unica Platform 在 12.1.1 和 11.1.0.6 之前的版本中存在XXE漏洞。由于应用程序中存在一个处理XML输入的API,攻击者可以构造恶意XML对其进行利用。
二、风险等级:
高危
三、影响范围:
HCL Unica Platform 12.1.x < 12.1.1
HCL Unica Platform 11.1.0.x < 11.1.0.6
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://support.hcltechsw.com/csm?id=kb_article&sysparm_article=KB0106547
2 typecho 文件上传漏洞(CVE-2023-36299)
一、漏洞描述:
typecho 是一个基于 PHP 的博客平台,支持多种数据库(MySQL, SQLite, PostgreSQL),Markdown 语法,插件和主题功能 ,自定义字段和页面等。
typecho 在 1.2.1 及之前版本中存在文件上传漏洞。经过身份认证的攻击者可以修改允许上传的文件后缀名,从而上传恶意Webshell文 件,从而控制服务器。
二、风险等级:
高危
三、影响范围:
typecho <= 1.2.1
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://typecho.org/download
3 DedeCMS 文件上传漏洞(CVE-2023-36298)
一、漏洞描述:
Dedecms是一款由上海卓卓网络科技有限公司研发的国产PHP网站内容管理系统,它可以让用户轻松地创建和管理各种类型的网站,如门户、企业、政府等,它具有强大的模板引擎、自定义模型、动静态部署、SEO优化等功能。
DedeCMS 在 5.7.109 及之前版本存在文件上传漏洞。经过身份认证的攻击者利用系统的过滤缺陷可以上传恶意Webshell文件,从而控制服务器。
二、风险等级:
高危
三、影响范围:
DedeCMS <= 5.7.109
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://www.dedecms.com/download
4 Answer 垂直越权漏洞(CVE-2023-4124)
一、漏洞描述:
Answer 是一个开源的知识社区软件,可以用来快速构建产品技术支持、客户支持、用户交流等问答社区。
v1.1.1 之前的 answer 缺少授权。
二、风险等级:
高危
三、影响范围:
Answer < 1.1.1
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://github.com/answerdev/answer/releases
页:
[1]