漏洞风险提示(20231213)
免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表安天实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与安天实验室一律不予承担。1 宏景eHR sql注入漏洞(CVE-2023-6655)
一、漏洞描述:
宏景eHR人力资源管理软件是一款人力资源管理与数字化应用相融合,满足动态化、协同化、流程化、战略化需求的软件。
在宏景e-HR 2020中发现了一个被列为关键的漏洞。受此问题影响的是文件/w_selfservice/oauthservlet/%2e./.%的一些未知功能2e/general/inform.org/loadhistroyorgtree组件登录界面。参数parentid的操作导致sql注入。
二、风险等级:
高危
三、影响范围:
宏景e-HR 2020
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
http://www.hjsoft.com.cn/#/
2 安美数字酒店宽带运营系统 language.php SQL注入漏洞(CVE-2023-6647)
一、漏洞描述:
安美数字酒店宽带运营系统存在SQL注入漏洞。由于系统未对用户输入进行过滤,未授权的攻击者能够通过 language.php 文件中的 Type 参数进行SQL注入利用,从而获取数据库敏感信息。
二、风险等级:
高危
三、影响范围:
安美数字酒店宽带运营系统
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://www.amttgroup.com/
3 WordPress Backup & Migration远程代码执行漏洞(CVE-2023-6553)
一、漏洞描述:
Backup & Migration是一个安装量超过 90,000 次WordPress 插件,可帮助管理员自动将网站备份到本地存储或 Google 云端硬盘帐户。
WordPress Backup & Migration 1.3.7 及之前版本中,由于威胁者可以控制传递给include的值,导致可在未经身份验证的情况下通过/includes/backup-heart.php 文件执行PHP 代码注入,实现远程代码执行。
二、风险等级:
高危
三、影响范围:
WordPress Backup & Migration <= 1.3.7
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://wordpress.org/plugins/backup-backup/
4 Frauscher Sensortechnik FDS102 代码注入漏洞(CVE-2023-5500)
一、漏洞描述:
Frauscher Sensortechnik FDS102是Frauscher公司的一个诊断系统设备。
Frauscher Sensortechnik FDS102 v2.10.1版本存在代码注入漏洞。攻击者利用该漏洞可以滥用代码。
二、风险等级:
高危
三、影响范围:
Frauscher Sensortechnik FDS102 v2.10.1
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://www.frauscher.com/en/psirt
页:
[1]