免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表安天实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与安天实验室一律不予承担。
1 IBM InfoSphere Information Server RMI反序列化漏洞(CVE-2023-32336)
一、漏洞描述:
IBM InfoSphere Information Server是一款数据集成和管理平台,提供了数据质量、数据治理、数据分析等功能。在IBM InfoSphere Information Server 11.7版本中,由于RMI服务中存在不安全的反序列化操作,导致了一个远程代码执行的漏洞。
二、风险等级:
高危
三、影响范围:
IBM InfoSphere Information Server 11.7
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://www.ibm.com/support/pages/
2 Apache InLong 权限升级漏洞(CVE-2023-31062)
一、漏洞描述:
Apache inLong是一个开源的、基于Apache Flink技术的工具,旨在为大规模实时流数据处理提供基础设施。它支持多种数据格式和源,可以进行高效的数据聚合、转换和分析,并且具有高度可扩展性和容错性。
Apache InLong 对权限验证不足,当攻击者可以访问有效(但非特权)帐户时,可以使用 Burp Suite 通过发送登录信息来执行漏洞利用。
二、风险等级:
高危
三、影响范围:
1.4.0 <= Apache InLong <= 1.6.0
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://inlong.apache.org/zh-CN/downloads
3 Apache InLong 越权漏洞(CVE-2023-31066)
一、漏洞描述:
Apache inLong是一个开源的、基于Apache Flink技术的工具,旨在为大规模实时流数据处理提供基础设施。它支持多种数据格式和源,可以进行高效的数据聚合、转换和分析,并且具有高度可扩展性和容错性。
由于 Apache InLong 在处理数据源的删除、编辑、停止和启动请求时没有正确验证用户权限,导致攻击者可以操作不属于自己的数据源 。
二、风险等级:
高危
三、影响范围:
1.4.0 <= Apache InLong <= 1.6.0
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://inlong.apache.org/zh-CN/downloads
4 Apache InLong 权限分配不当(CVE-2023-31454)
一、漏洞描述:
Apache inLong是一个开源的、基于Apache Flink技术的工具,旨在为大规模实时流数据处理提供基础设施。它支持多种数据格式和源,可以进行高效的数据聚合、转换和分析,并且具有高度可扩展性和容错性。
Apache inLong 在 1.2.0-1.6.0 版本存在不正确的权限分配。经过身份认证的攻击者可以绑定任意集群,即使他不是该集群的所有者。
二、风险等级:
高危
三、影响范围:
1.2.0 <= Apache inLong <= 1.6.0
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://inlong.apache.org/zh-CN/downloads
|
发表于 2023-5-23 09:24
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
显身卡