漏洞风险提示(20231127)
免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表安天实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与安天实验室一律不予承担。1 TOTOlink A3700R 命令注入漏洞(CVE-2023-48192)
一、漏洞描述:
TOTOLINK A3700R 是一款无线路由器。
TOTOlink A3700 R v.9.1.2u.6134_B20201202中存在一个问题,允许本地攻击者通过setTracerouteCfg函数执行任意代码。
二、风险等级:
高危
三、影响范围:
TOTOlink A3700R <= V9.1.2u.6134_B20201202
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://www.honeywell.com/us/en/product-security
2 OwnCloud 信息泄漏(CVE-2023-49103)
一、漏洞描述:
OwnCloud是一款开源的文件同步和共享解决方案,它允许用户在自己的服务器或云存储中创建个人云服务,以便安全地存储、同步和共享文件。
OwnCloud owncloud/graphapi 在 0.2.x(0.2.1之前) 和 0.3.x(0.3.1之前) 存在信息泄露。graphapi 应用程序依赖于提供URL的第三方库。它会显示 phpinfo 的信息,该信息中包括了环境变量,如:ownCloud管理员密码、邮件服务器凭证和许可证密码等内容。
二、风险等级:
高危
三、影响范围:
0.2.0 <= OwnCloud owncloud/graphapi < 0.2.1
0.3.0 <= OwnCloud owncloud/graphapi < 0.3.1
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://owncloud.com/security-advisories/disclosure-of-sensitive-credentials-and-configuration-in-containerized-deployments/
3 PrestaShop MyPrestaModules sql注入漏洞(CVE-2023-46357)
一、漏洞描述:
PrestaShop 是一种流行的开源电子商务平台,用于创建和管理在线商店。
在MyPrestaModules for PrestaShop的<3.5.0模块中,该方法motivationsaleDataModel::getProductsByIds()具有敏感的 SQL 调用,可以通过简单的 http 调用来执行,并被利用来伪造 SQL 注入。
二、风险等级:
高危
三、影响范围:
MyPrestaModules Cross Selling in Modal Cart < 3.5.0
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://addons.prestashop.com/fr/ventes-croisees-packs-produits/16122-cross-selling-in-modal-cart.html
4 Dell OS Recovery Tool 权限提升漏洞(CVE-2023-39253)
一、漏洞描述:
Dell OS Recovery Tool(戴尔操作系统恢复工具)是戴尔公司提供的一种工具,旨在帮助用户重新安装或升级其戴尔计算机的操作系统。
戴尔操作系统恢复工具版本2.2.4013、2.3.7012.0和2.3.7515.0包含不正确的访问控制漏洞。经过身份验证的本地非管理员用户可能会利用此漏洞,从而提升系统的权限。
二、风险等级:
高危
三、影响范围:
Dell OS Recovery Tool = 2.2.4013/2.3.7012.0/2.3.7515.0
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://www.dell.com/support/home/en-in/drivers/osiso/recoverytool
页:
[1]