漏洞风险提示(20231107)
免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表安天实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与安天实验室一律不予承担。1 IBM Content Navigator 服务器端请求伪造漏洞(CVE-2023-35896)
一、漏洞描述:
IBM Content Navigator是一款由IBM开发的Web客户端,它提供了一个控制台,使用户可以从多个内容服务器中访问和管理文档,同时还可以创建团队空间以便于团队协作。
IBM Content Navigator 在 3.0.13 版本中存在服务器端请求伪造漏洞(SSRF)。这可能允许经过身份验证的攻击者从系统发送未经授权的请求,从而可能导致扫描网段或文件读取等操作。
二、风险等级:
高危
三、影响范围:
IBM Content Navigator 3.0.13
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://www.ibm.com/support/pages/node/7065203
2 phpFox /core/redirect 反序列化漏洞(CVE-2023-46817)
一、漏洞描述:
phpFox是一款基于PHP的社交网络平台。phpFox 在 4.8.14 版本之前存在反序列化漏洞。
由于系统没有对用户输入进行过滤,攻击者在请求 index.php/core/reDirect 路由时,可以使用url参数携带恶意序列化字符串,从而达到远程代码执行。
二、风险等级:
高危
三、影响范围:
phpFox < 4.8.14
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://docs.phpfox.com/display/FOX4MAN/phpFox+4.8.14
3 QNAP Systems QTS和QuTS hero 操作系统命令注入漏洞(CVE-2023-23368)
一、漏洞描述:
QNAP Systems QTS和QNAP Systems QuTS hero都是中国威联通科技(QNAP Systems)公司的产品。QNAP Systems QTS是一个入门到中阶QNAP NAS 使用的操作系统。
QNAP Systems QuTS hero是一个操作系统。QNAP Systems QTS和QuTS hero存在操作系统命令注入漏洞,该漏洞源于存在操作系统命令注入漏洞,可能允许攻击者通过网络执行命令。
二、风险等级:
高危
三、影响范围:
QNAP Systems QTS
QuTS hero
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://www.qnap.com/en/security-advisory/qsa-23-31
4 ZOHO ManageEngine Desktop Central 注入漏洞(CVE-2023-4768)
一、漏洞描述:
ZOHO ManageEngine Desktop Central(DC)是美国卓豪(ZOHO)公司的一套桌面管理解决方案。
该方案包含软件分发、补丁管理、系统配置、远程控制等功能模块,可对桌面机以及服务器管理的整个生命周期提供支持。ZOHO ManageEngine Desktop Central 9.1.0版本存在注入漏洞,该漏洞源于存在CRLF注入漏洞,可能允许远程攻击者注入任意HTTP标头,并通过参数fileName执行HTTP响应拆分攻击。
二、风险等级:
高危
三、影响范围:
ZOHO ManageEngine Desktop Central 9.1.0
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://www.manageengine.com/products/desktop-central/free-trial.html?ec-home-hero-download
页:
[1]