漏洞风险提示(20231023)
免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表安天实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与安天实验室一律不予承担。1 Apache inlong 任意文件读取漏洞(CVE-2023-46227)
一、漏洞描述:
Apache InLong是一站式、全场景的海量数据集成框架,同时支持数据接入、数据同步和数据订阅,提供自动、安全、可靠和高性能的数据传输能力,方便业务构建基于流式的数据分析、建模和应用。
Apache InLong 在 1.4.0-1.8.0 版本中存在任意文件读取漏洞。经过身份认证的攻击者在使用JDBC连接时,利用""\t""绕过系统过滤,从而进行任意文件读取。
二、风险等级:
高危
三、影响范围:
1.4.0 <= Apache InLong <= 1.8.0
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://github.com/apache/inlong/releases
2 Oracle WebLogic Server 远程代码执行漏洞(CVE-2023-22089)
一、漏洞描述:
Oracle WebLogic Server 是一个可扩展的、企业级的 Java EE 应用服务器,支持部署多种类型的分布式应用程序,是构建基于 SOA 的应用程序的理想基础。
Oracle WebLogic Server 存在远程代码执行漏洞。未经身份认证的攻击者可以通过 T3/IIOP 协议发送恶意请求,从而获取服务器权限。
二、风险等级:
高危
三、影响范围:
Oracle WebLogic Server 12.2.1.4.0
Oracle WebLogic Server 14.1.1.0.0
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://www.oracle.com/security-alerts/cpuoct2023.html
3 Spring AMQP反序列化漏洞(CVE-2023-34050)
一、漏洞描述:
Spring AMQP 是一个基于 AMQP 的消息传递解决方案,它应用了 Spring 框架的核心概念,提供了高级抽象层,支持 POJO 驱动的消息处理和依赖注入。
Spring AMQP 存在反序列化漏洞。由于在使用 SimpleMessageConverter 或 SerializerMessageConverter 时可反序列化类名的白名单默认情况为空,这将导致所有类都可以被反序列化。
二、风险等级:
高危
三、影响范围:
1.0.0 <= Spring AMQP <= 2.4.16
3.0.0 <= Spring AMQP <= 3.0.9
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://github.com/spring-projects/spring-amqp/releases
4 Apache bRPC 跨站脚本漏洞(CVE-2023-45757)
一、漏洞描述:
Apache bRPC 是一个高性能、通用的远程过程调用(RPC)框架。
所有平台上的 Apache bRPC <=1.6.0 中的安全漏洞允许攻击者将 XSS 代码注入内置 rpcz 页面。
二、风险等级:
高危
三、影响范围:
0.9.0 <= Apache bRPC <=1.6.0
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://brpc.apache.org/docs/downloadbrpc/
页:
[1]