漏洞风险提示(20230925)
免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表安天实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与安天实验室一律不予承担。1 Apple WebKit 代码执行漏洞(CVE-2023-41993)
一、漏洞描述:
WebKit是一个开源的Web浏览器引擎,它被用于苹果的Safari浏览器,以及macOS、iOS和Linux上的许多其他应用程序。
在处理攻击者特制的Web内容会导致任意代码执行。
二、风险等级:
高危
三、影响范围:
Apple iOS < 16.7
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,升级版本号:
iOS 16.7 和 iPadOS 16.7、iOS 17.0.1 和 iPadOS 17.0.1、Safari 16.6.1
2 Apple iOS 权限提升漏洞(CVE-2023-41992)
一、漏洞描述:
iOS 是苹果公司推出的移动操作系统,运行在 iPhone、iPod touch 和 Apple TV 上,提供丰富的移动应用和服务。iPadOS 是基于 iOS 的专门针对 iPad 设备优化的操作系统,支持多任务处理、手写笔记和更多的外设和键盘快捷方式。
具有本地权限的攻击者使用此漏洞可以提升操作权限。
二、风险等级:
高危
三、影响范围:
Apple iOS < 16.7
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,升级版本号:
iOS 16.7 和 iPadOS 16.7、OS 17.0.1 和 iPadOS 17.0.1、watchOS 9.6.3、macOS Ventura 13.6、macOS Monterey 12.7、watchOS 10.0.1
3 IBM Person Communications(PCOMM) 权限提升漏洞(CVE-2023-37410)
一、漏洞描述:
IBM Personal Communications 是一款用于 Microsoft Windows 的主机通信和终端仿真软件。它具有完整的 64 位架构,支持虚拟终端(VT)仿真和系统网络体系结构(SNA)应用程序,并提供了访问不同主机系统上的数据和应用程序的平台。
由于过于宽松的访问控制,IBM Personal Communications 允许本地用户将其权限升级为系统用户。
二、风险等级:
高危
三、影响范围:
PCOMM 14.0.5
PCOMM 14.0.6
PCOMM 15.0.0
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://www.ibm.com/support/fixcentral/swg/selectFixes?parent=ibm~Rational&product=ibm/Rational/IBM+Personal+Communications&release=14.0.6&platform=All&
4 Announcement Banner SQL注入漏洞(CVE-2023-40933)
一、漏洞描述:
Nagios XI 是一种流行且广泛使用的商业监控解决方案,适用于 IT 基础设施和网络监控。它是开源 Nagios Core 监控平台的商业版本,并提供了附加功能来简化管理复杂 IT 环境的过程。
Nagios XI 版本<=5.11.1的公告Banner设置的管理页面在/nagiosxi/admin/bbanner message-ajaxhelper.php端点中存在SQL注入漏洞,具有公告Banner配置权限的经过身份验证的威胁者可通过update_banner_message()函数的ID参数执行SQL注入攻击,从而导致敏感信息泄露。
二、风险等级:
高危
三、影响范围:
Nagios XI版本<= 5.11.1
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://www.nagios.com/downloads/nagios-xi/change-log/
页:
[1]