漏洞风险提示(20230908)
免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表安天实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与安天实验室一律不予承担。1 Cacti SQL注入漏洞(CVE-2023-39361)
一、漏洞描述:
Cacti是一套基于PHP,MySQL,SNMP及RRDTool开发的网络流量监测图形分析工具,为世界各地的用户提供强大且可扩展的操作监控和故障管理框架。在 graph_view.php 中存在一个SQL 注入漏洞。由于访客用户在默认情况下无需验证即可访问 graph_view.php,如果访客用户在启用状态,则该漏洞则无需任何授权即可进行利用。
二、风险等级:
高危
三、影响范围:
cacti<=1.2.24
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://github.com/Cacti/cacti/security/advisories/GHSA-6r43-q2fw-5wrg
2 Ivanti Sentry 命令执行漏洞(CVE-2023-38035)
一、漏洞描述:
Ivanti是一家IT软件公司,它生产用于IT安全,IT服务管理,IT资产管理,统一端点管理,身份管理和供应链管理的软件。Ivanti MobileIron Sentry 9.18.0 及更低版本中的 MICS 管理门户中存在安全漏洞,由于 Apache HTTPD 配置限制不足,该漏洞可能允许攻击者绕过管理界面上的身份验证控制。
二、风险等级:
高危
三、影响范围:
MobileIron Sentry<=9.18.0
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://forums.ivanti.com/s/article/KB-API-Authentication-Bypass-on-Sentry-Administrator-Interface-CVE-2023-38035?language=en_US
3 飞腾云端HR Portal 配置不当漏洞(CVE-2023-34357)
一、漏洞描述:
飞腾云端HR Portal是一个提供人力资源管理和解决方案的网站,它可以帮助企业进行人事薪资、考勤、绩效、培训、招聘等各项HR业务。飞腾云端HR Portal 在 7.3.2023.0705 版本之前存在配置不当漏洞。密码重设连结在密码重设后以及预期时效过后仍然有效。远端攻击者可利用此漏洞进行密码修改,进而登入系统,操作该登入帐号的权限。
二、风险等级:
高危
三、影响范围:
飞腾云端HR Portal < 7.3.2023.0705
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://www.twcert.org.tw/tw/cp-132-7347-2653e-1.html
4 Google Chrome 越界读取漏洞(CVE-2023-4761)
一、漏洞描述:
Google Chrome是一款由Google公司开发的免费网页浏览器,它基于其他开源软件(如WebKit)编写,目标是提升稳定性、速度和安全性,并创造出简单且有效率的用户界面。Google Chrome 在 116.0.5845.179 之前版本中,FedCM 的越界内存访问允许入侵渲染器进程的远程攻击者通过伪造的 HTML 页面执行越界内存读取。
二、风险等级:
高危
三、影响范围:
Google Chrome < 116.0.5845.179
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://chromereleases.googleblog.com/2023/09/stable-channel-update-for-desktop.html
页:
[1]