漏洞风险提示(20240117)
免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表安天实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与安天实验室一律不予承担。1 Atlassian Confluence 远程代码执行漏洞(CVE-2023-22527)
一、漏洞描述:
Confluence Data Center 是一种自托管解决方案,可为组织提供各种配置选项来满足团队协作需求。Confluence Server 是一种适用于小型团队的自托管解决方案,提供了基本的协作和知识管理功能。
Atlassian Confluence Data Center & Server 存在 模板注入代码执行漏洞。攻击者可在无需登录的情况下构造恶意请求导致远程代码执行。
二、风险等级:
高危
三、影响范围:
Confluence Data Center and Server 8.0.x
Confluence Data Center and Server 8.1.x
Confluence Data Center and Server 8.2.x
Confluence Data Center and Server 8.3.x
Confluence Data Center and Server 8.4.x
8.5.0 <= Confluence Data Center and Server <= 8.5.3
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://www.atlassian.com/software/confluence/download
2 Apache IoTDB UDTFJexl 远程代码执行漏洞(CVE-2023-46226)
一、漏洞描述:
Apache IoTDB是时序数据的数据管理系统,为用户提供数据采集、存储、分析等特定服务。在Apache IoTDB中通过UDTFJexl.java实现 JEXL 表达式支持。
攻击者可以通过配置 UDF,调用 JEXL表达式来执行 JAVA命令,导致存在远程代码执行漏洞。
二、风险等级:
高危
三、影响范围:
1.0.0 <= Apache iotdb <= 1.2.2
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://github.com/apache/iotdb
3 WWBN AVideo 跨站脚本漏洞(CVE-2023-47861)
一、漏洞描述:
WWBN AVideo是WWBN团队的一个由PHP编写的视频平台建站系统。
WWBN AVideo 存在跨站脚本漏洞,该漏洞源于 channelBody.php 页面的 user name 方法存在跨站脚本(xss)漏洞。
二、风险等级:
高危
三、影响范围:
WWBN Avideo
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://github.com/WWBN/Avideo
4 fontTools 代码问题漏洞(CVE-2023-45139)
一、漏洞描述:
fontTools是一个用 Python 编写的用于操作字体的库。fontTools 4.43.0之前版本存在代码问题漏洞。
攻击者利用该漏洞可以运行 fontTools 的文件系统的任意文件。
二、风险等级:
高危
三、影响范围:
fontTools 4.43.0
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://github.com/fonttools/fonttools/commit/9f61271dc1ca82ed91f529b130fe5dc5c9bf1f4c
页:
[1]