漏洞风险提示(20240112)
免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表安天实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与安天实验室一律不予承担。1 WuzhiCms sql注入漏洞(CVE-2023-52064)
一、漏洞描述:
WUZHI CMS是五指(WUZHI)公司的一套基于PHP和MySQL的开源内容管理系(CMS)。
Wuzhicms v4.1.0通过/core/admin/copyfrom.php中的$keywords参数被发现包含SQL注入漏洞。
二、风险等级:
高危
三、影响范围:
Wuzhicms <= v4.1.0
四、修复建议:
设置复杂账户密码。
2 Cisco Unity Connection 文件上传漏洞 (CVE-2024-20272)
一、漏洞描述:
Cisco Unity Connection 是思科(Cisco)推出的一款企业级语音邮件和统一消息解决方案。
Cisco Unity Connection 基于 Web 的管理界面中存在一个漏洞,允许未经身份验证的远程攻击者将任意文件上传到受影响的系统,并在底层操作系统上执行命令。
二、风险等级:
高危
三、影响范围:
Cisco Unity Connection <= 12.5
Cisco Unity Connection 14
Cisco Unity Connection 15
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-20700
3 GitPython代码执行漏洞(CVE-2024-22190)
一、漏洞描述:
GitPython 是一个用于与 Git存储库交互的 Python 库。在Windows 上,如果 GitPython 使用 shell 来运行git,以及当它运行bash.exe来解释hooks时,它会使用不受信任的搜索路径并可能执行在不受信任的搜索路径中找到的程序。
如果在Windows上使用这些功能中的任何一个,则可能导致从不受信任的存储库中运行恶意git.exe或bash.exe,从而导致任意代码执行。
二、风险等级:
高危
三、影响范围:
GitPython < 3.1.4
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://github.com/gitpython-developers/GitPython/releases
4 Apache Answer 条件竞争漏洞(CVE-2023-49619)
一、漏洞描述:
Apache Answer 是一个开源的问答系统,它允许用户提交问题并由其他用户回答。Apache Answer 在 1.2.0 及之前版本中存在条件竞争漏洞。
正常情况下,用户只能将一个问题加入书签一次,也只能增加一次问题的收藏数量。但是攻击者可以利用脚本进行并发添加,导致多次增加问题的收藏数量。
二、风险等级:
高危
三、影响范围:
Apache Answer <= 1.2.0
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://github.com/apache/incubator-answer/releases
页:
[1]