漏洞风险提示(20231020)
免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表安天实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与安天实验室一律不予承担。1 F5 BIG-IP目录遍历漏洞(CVE-2023-41373)
一、漏洞描述:
F5 公司是全球范围内应用交付网络(ADN)领域的知名厂商。BIG-IP 是F5公司的一款集成了网络流量管理、应用程序安全管理、负载均衡等功能的应用交付平台。
该目录遍历漏洞存在于BIG-IP配置实用程序(Configuration utility)中,由于在文件操作中使用用户提供的路径之前未对其进行正确验证,经过身份验证的威胁者可以通过向 BIG-IP 配置实用程序发送恶意设计的请求来利用该漏洞,成功利用可能在 BIG-IP 系统上执行命令。对于运行Appliance模式的 BIG-IP 系统,成功利用该漏洞可能绕过Appliance 模式限制。
二、风险等级:
高危
三、影响范围:
标准部署和Appliance模式下的BIG-IP(所有模块):
17.x:17.1.0
16.x:16.1.0 - 16.1.4
15.x:15.1.0 - 15.1.10
14.x:14.1.0 - 14.1.5
13.x:13.1.0 - 13.1.5
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://my.f5.com/
2 Zabbix缓冲区溢出漏洞(CVE-2023-32722)
一、漏洞描述:
Zabbix是一个基于WEB界面的提供分布式系统监视以及网络监视功能的企业级开源监控解决方案。
Zabbix在zabbix/src/libs/zbxjson 模块中存在漏洞,由于该模块未对 JSON 数据的深度进行校验,当通过zbx_json_open方法解析JSON 深度超过 64 层时可能导致缓冲区溢出。有权添加监控项或控制配置文件的威胁者可以配置超过64层的嵌套JSONPATH值触发缓冲区溢出,成功利用该漏洞可能导致拒绝服务或远程代码执行。
二、风险等级:
高危
三、影响范围:
Zabbix版本6.0.0 - 6.0.20
Zabbix版本6.4.0 - 6.4.5
Zabbix版本7.0.0alpha1 - 7.0.0alpha3
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://github.com/zabbix/zabbix/tags
3 Qlik Sense Enterprise 目录遍历漏洞(CVE-2023-41266)
一、漏洞描述:
QlikSense是一个完整的数据分析平台,可帮助您应对最复杂的分析挑战。完整的开放API集使您可以完全自定义分析解决方案。Windows 版 Qlik Sense Enterprise 存在任意文件读取漏洞,攻击者可构造恶意请求利用目录遍历造成前台Requestsmuggle,从而调用后台服务的相关功能造成远程代码执行。
二、风险等级:
高危
三、影响范围:
Qlik Sense<=May 2023 Patch 3
Qlik Sense<=February 2023 Patch 7
Qlik Sense<=November 2022 Patch 10
Qlik Sense<=August 2022 Patch 12
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://community.qlik.com/t5/Official-Support-Articles/Critical-Security-fixes-for-Qlik-Sense-Enterprise-for-Windows/ta-p/2110801
4 Directus 在无效的 WebSocket 消息上崩溃漏洞(CVE-2023-45820)
一、漏洞描述:
Directus是一个实时API和应用程序仪表板,用于管理SQL数据库内容。在受影响的版本中,启用WebSockets的任何Directus安装都可能在WebSocket服务器接收到无效帧时崩溃。恶意用户可以利用此漏洞来使Directus崩溃。该问题在10.6.2版本中已得到解决。建议用户升级。无法升级的用户应避免使用WebSockets。
二、风险等级:
高危
三、影响范围:
10.4.0<=directus<10.6.2
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://directus.io/
页:
[1]