漏洞风险提示(20231229)
免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表安天实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与安天实验室一律不予承担。1 go-git拒绝服务漏洞(CVE-2023-49568)
一、漏洞描述:
go-git是一个用Go语言编写的高度可扩展的 git 实现库。
该漏洞存在于go-git 4.0.0 - 5.11之前的版本中,威胁者可提供恶意制作的 Git 服务器响应来执行拒绝服务攻击,从而导致go-git 客户端资源耗尽。
二、风险等级:
高危
三、影响范围:
4.0.0<= go-git版本< 5.11.0
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://github.com/go-git/go-git/releases
2 AOMedia 输入验证错误漏洞(CVE-2023-6879)
一、漏洞描述:
AOMedia是AOMedia组织的一个适合所有人的下一代开源数字媒体技术。
AOMedia v3.7.1之前版本存在输入验证错误漏洞,该漏洞源于在执行多线程编码时提高视频帧的分辨率可能会导致 av1_loop_restoration_dealloc() 中出现堆溢出。
二、风险等级:
高危
三、影响范围:
AOMedia < v3.7.1
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://aomedia.googlesource.com/aom/+/refs/tags/v3.7.1
3 Ubystanitim University Information Management System 输入验证错误漏洞(CVE-2023-6190)
一、漏洞描述:
Ubystanitim University Information Management System是一个信息管理系统。
Ubystanitim University Information Management System 30.11.2023版本存在输入验证错误漏洞,该漏洞源于不正确输入验证导致路径遍历。
二、风险等级:
高危
三、影响范围:
Ubystanitim University Information Management System 30.11.2023
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://ubystanitim.ikcu.edu.tr/
4 Weseek GROWI 跨站脚本漏洞(CVE-2023-49779)
一、漏洞描述:
Weseek GROWI是日本Weseek公司的一套团队协作软件。
Weseek GROWI v6.0.0之前版本存在跨站脚本漏洞,该漏洞源于anchor tag中存在跨站脚本,攻击者利用该漏洞可以在用户的 Web 浏览器上执行任意脚本。
二、风险等级:
高危
三、影响范围:
Weseek GROWI < v6.0.0
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://weseek.co.jp/ja/news/2023/11/21/growi-prevent-xss6/
页:
[1]