免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表安天实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与安天实验室一律不予承担。
1 Jira Service 水平越权漏洞(CVE-2023-22501)
一、漏洞描述:
在Jira服务管理服务器和数据中心发现了一个身份验证漏洞,允许攻击者在某些情况下冒充另一个用户并访问Jira服务管理实例_。_通过在Jira Service Management实例上启用对用户目录和外发电子邮件的写访问,攻击者可以访问发送给从未登录过帐户的用户的注册令牌。对这些令牌的访问可以在两种情况下获得:*如果攻击者包含在这些用户的Jira问题或请求中,或者*如果攻击者被转发或以其他方式获得包含这些用户的“查看请求”链接的电子邮件的访问权。机器人账户特别容易受到这种情况的影响。在单点登录的情况下,在任何人都可以创建自己帐户的项目中,外部客户帐户可能会受到影响。
二、风险等级:
高危
三、影响范围:
Jira Service
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://jira.atlassian.com/browse/JSDSERVER-12312
2 F5 BIG-IP任意代码执行漏洞 (CVE-2023-22374)
一、漏洞描述:
F5 BIG-IP iControl SOAP中存在一个格式字符串漏洞,使得经过身份验证的攻击者能够使iControl SOAP CGI进程崩溃,或者可能执行任意代码,在设备模式BIG-IP中,成功利用此漏洞可让攻击者跨越安全边界。
二、风险等级:
高危
三、影响范围:
F5 BIG-IP 13.x = 13.1.5
14.1.4.6 <= F5 BIG-IP 14.x <= 14.1.5
15.1.5.1 <= F5 BIG-IP 15.x <= 15.1.8
16.1.2.2 <= F5 BIG-IP 16.x <= 16.1.3
F5 BIG-IP 17.x = 17.0.0
四、修复建议:
目前厂商暂未发布修复措施解决此安全问题,建议关注厂商主页或参考网址以获取解决办法:
https://my.f5.com/manage/s/
3 F5 BIG-IP Virtual Edition拒绝服务漏洞(CVE-2023-23555)
一、漏洞描述:
F5 BIG-IP Virtual Edition存在拒绝服务漏洞,在BIG-IP虚拟版中的虚拟服务器上配置FastL4配置文件时,未公开的流量可能导致TMM终止,攻击者可利用该漏洞造成拒绝服务。
二、风险等级:
高危
三、影响范围:
F5 BIG-IP (all modules) >=15.1.4,<=15.1.7
F5 BIG-IP (all modules) 14.1.5
F5 BIG-IP SPK 1.5.0
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://my.f5.com/manage/s/article/K24572686
4 D-Link DIR-846命令注入漏洞(CVE-2022-46641)
一、漏洞描述:
D-Link DIR-846 A1_FW100A43 存在安全漏洞,该漏洞源于通过 SetIpMacBindSettings 函数中的 lan(0)_dhcps_staticlist 参数发现包含命令注入。
二、风险等级:
高危
三、影响范围:
D-Link DIR-846 A1_FW100A43
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://www.dlink.com/en/security-bulletin/
|