漏洞风险提示(20240110)
免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表安天实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与安天实验室一律不予承担。1 QNAP QTS & QuTS Hero原型污染漏洞(CVE-2023-39296)
一、漏洞描述:
QNAP Systems, Inc.(威联通科技)主要生产用于文件共享、虚拟化、存储管理和监控应用的网络附加存储(NAS)设备。
该漏洞影响了QTS 和 QuTS Hero,可能导致远程威胁者使用类型不兼容的属性覆盖现有属性,从而可能导致系统崩溃。
二、风险等级:
高危
三、影响范围:
QTS 5.1.x < QTS 5.1.3.2578 build 20231110
QuTS hero h5.1.x < QuTS hero h5.1.3.2578 build 20231110
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://www.qnap.com/en/download
2 ZOHO ManageEngine OpManager 路径遍历漏洞(CVE-2023-47211)
一、漏洞描述:
ZOHO ManageEngine OpManager是美国卓豪(ZOHO)公司的一款综合性网络监控软件。用于管理路由器、防火墙、服务器、交换机和打印机。
ZOHO ManageEngine OpManager 12.7.258版本存在路径遍历漏洞,该漏洞源于uploadMib 功能中存在目录遍历漏洞,攻击者利用该漏洞可以使用特制的 HTTP 请求导致任意文件创建。
二、风险等级:
高危
三、影响范围:
ZOHO ManageEngine OpManager 12.7.258
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://www.manageengine.com/network-monitoring/
3 PaddlePaddle 缓冲区错误漏洞(CVE-2023-52304)
一、漏洞描述:
PaddlePaddle(飞桨)是中国飞桨(PaddlePaddle)开源的一个独立的研发深度学习平台。
PaddlePaddle 2.6.0 版本之前存在安全漏洞,该漏洞源于可能会导致拒绝服务,甚至更大的损坏。
二、风险等级:
高危
三、影响范围:
PaddlePaddle 2.6.0
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://github.com/PaddlePaddle/Paddle/blob/develop/security/advisory/pdsa-2023-013.md
4 GTKWave 输入验证错误漏洞(CVE-2023-39316)
一、漏洞描述:
GTKWave是GTKWave公司的一款功能齐全、基于 GTK+ 的波形查看器。
GTKWave 3.3.115版本存在输入验证错误漏洞。攻击者利用该漏洞通过特制的 .lxt2 文件导致任意代码执行。
二、风险等级:
高危
三、影响范围:
GTKWave 3.3.115
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://sourceforge.net/projects/gtkwave/files/gtkwave-3.3.118/
页:
[1]