漏洞风险提示(20240104)
免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表安天实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与安天实验室一律不予承担。1 Perl for Windows 远程代码执行漏洞(CVE-2023-47039)
一、漏洞描述:
Perl 是高级、通用、直译式、动态的程序语言。Perl 在 5.32.1 版本之前存在远程代码执行漏洞。
该安全问题发生在 Perl for Windows 依赖系统路径环境变量查找 shell (cmd.exe) 时。在运行使用 Windows Perl 解释器的可执行文件时,Perl 会尝试在操作系统中查找并执行 cmd.exe。然而,由于路径搜索顺序问题,Perl 最初是在当前工作目录中查找 cmd.exe。此漏洞允许权限有限的攻击者将 cmd.exe 放在权限较弱的位置,如 C:\ProgramData。这样,当管理员试图从这些受影响的位置使用此可执行文件时,就可以执行任意代码。
二、风险等级:
高危
三、影响范围:
Perl < 5.32.1
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://www.perl.org/get.html
2 通达OA delete.php sql注入漏洞(CVE-2023-7180)
一、漏洞描述:
通达OA是一款协同办公自动化软件,由北京通达信科科技有限公司自主研发,为各行业不同规模的众多用户提供信息化管理能力。
通达 OA 2017版本11.9及以下在文件general/project/proj/delete.php参数PROJ_ID_STR可导致SQL注入。
二、风险等级:
高危
三、影响范围:
通达OA <= 11.9
通达OA 2017
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://www.tongda2000.com/
3 Google Pixel Watch 安全漏洞(CVE-2023-48418)
一、漏洞描述:
Google Pixel Watch是美国谷歌(Google)公司的一款持久耐用的智能手表。
Google Pixel Watch存在安全漏洞,该漏洞源于不安全的默认值,可能会导致本地权限升级。
二、风险等级:
高危
三、影响范围:
Google Pixel Watch
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://source.android.com/docs/security/bulletin/pixel-watch/2023/2023-12-01
4 PrestaShop 输入验证错误漏洞(CVE-2024-21627)
一、漏洞描述:
PrestaShop是美国PrestaShop公司的一套开源的电子商务解决方案。该方案提供多种支付方式、短消息提醒和商品图片缩放等功能。
PrestaShop 8.1.3之前版本存在输入验证错误漏洞,该漏洞源于“isCleanHTML”方法无法检测到某些事件属性。攻击者利用该漏洞执行跨站点脚本攻击。
二、风险等级:
高危
三、影响范围:
PrestaShop < 8.1.3
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://github.com/PrestaShop/PrestaShop/commit/73cfb44666818eefd501b526a894fe884dd12129
页:
[1]