论坛 › 安全预警 › 漏洞风险提示（20231219）

freestyle 发表于 2023-12-19 09:24

漏洞风险提示（20231219）

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。
1 Apache StreamPark 命令注入漏洞(CVE-2023-49898)
一、漏洞描述：
       
        Apache StreamPark是一个流应用程序开发框架，提供了使用 Apache Flink 和 Apache Spark 编写流处理应用程序的开发框架。
        Apache StreamPark 在 2.0.0 至 2.1.2 版本之前存在命令注入漏洞。StreamPark 项目模板中集成 Maven 编译功能，经过身份认证的攻击者可以通过该功能进行命令拼接的操作，从而进行命令注入，导致服务器被控制。
二、风险等级：
        高危
三、影响范围：
        2.0.0 <= Apache StreamPark < 2.1.2
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://github.com/apache/incubator-streampark/releases
2 Apache Dubbo 反序列化漏洞(CVE-2023-29234)
一、漏洞描述：
       
        Apache Dubbo 是一款易用、高性能的 WEB 和 RPC 框架，同时为构建企业级微服务提供服务发现、流量治理、可观测、认证鉴权等能力、工具与最佳实践。
        Apache Dubbo 在 3.1.0-3.1.10 和 3.2.0-3.2.4 版本中存在反序列化漏洞。攻击者可以构造特制的序列化利用链绕过 Dubbo 中的黑名单进行反序列化利用，导致恶意代码执行。
二、风险等级：
        高危
三、影响范围：
        3.1.0 <= Apache Dubbo <= 3.1.10
        3.2.0 <= Apache Dubbo <= 3.2.4
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://github.com/apache/dubbo/releases
3 Dell PowerProtect DD跨站脚本漏洞(CVE-2023-44286)
一、漏洞描述：
       
        Dell（戴尔公司）是全球知名的计算机系统公司、计算机产品及服务提供商，主要以生产、设计、销售家用以及办公室电脑而闻名，同时也生产与销售服务器、数据储存设备、网络设备等。
        Dell PowerProtect Data Domain (DD) 系列设备旨在帮助组织大规模保护、管理和恢复数据。未经身份验证的远程威胁者可利用该漏洞注入恶意HTML或JavaScript代码，可能在用户交互的情况下导致信息泄露、会话丢失或客户端请求伪造。
二、风险等级：
        高危
三、影响范围：
        7.0 < Dell PowerProtect DD 系列设备 < 7.12.0.0
        6.2.1.100 <= Dell PowerProtect DD 系列设备
        7.0 < Dell PowerProtect DD Virtual Edition < 7.12.0.0
        6.2.1.100 <= Dell PowerProtect DD Virtual Edition
        7.0 < DellAPEX Protection Storage < 7.12.0.0
        6.2.1.100 <= DellAPEX Protection Storage
        7.0 < Dell PowerProtect DD management Center < 7.12.0.0
        6.2.1.100 <= Dell PowerProtect DD management Center
        2.7.4 <= PowerProtect DP 系列设备 (IDPA)：所有型号
        7.0 < 大型机磁盘库 (DLm) 环境中使用的戴尔 PowerProtect DD 系列设备和戴尔 PowerProtect DD 虚拟版 < 7.12.0.0
        6.2.1.100 <= 大型机磁盘库 (DLm) 环境中使用的戴尔 PowerProtect DD 系列设备和戴尔 PowerProtect DD 虚拟版
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://www.dell.com/support/kbdoc/en-in/000220264/dsa-2023-412-dell-technologies-powerprotect-security-update-for-multiple-security-vulnerabilities
4 Silicon Labs TrustZone 输入验证错误漏洞(CVE-2023-4020)
一、漏洞描述：
       
        Silicon Labs TrustZone是美国芯科科技（Silicon Labs）公司的一项安全软件技术。
        Silicon Labs TrustZone存在输入验证错误漏洞，该漏洞源于库函数未执行用户输入验证，导致攻击者可以从非安全存储器区域读取或写入安全区域中的存储器。
二、风险等级：
        高危
三、影响范围：
        Silicon Labs TrustZone
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://github.com/SiliconLabs/gecko_sdk/releases

查看完整版本: 漏洞风险提示（20231219）