漏洞风险提示（20230529）

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 CodeIgniter4 远程代码执行漏洞(CVE-2023-32692)
一、漏洞描述：

        CodeIgniter4是一个用于开发PHP网站的应用程序开发框架。
        CodeIgniter4 在 4.3.5 版本之前存在远程命令执行漏洞。该漏洞存在于Validation库中，在使用验证占位符时将会导致攻击者执行任意代码，并且在控制器中的验证方法和模型内的验证也存在同样的漏洞。
二、风险等级：
        高危
三、影响范围：
        CodeIgniter4 < 4.3.5
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://github.com/codeigniter4/CodeIgniter4/releases/tag/v4.3.5

---

2 Barracuda Email Security Gateway 远程命令注入漏洞(CVE-2023-2868)
一、漏洞描述：

        Barracuda Email Security Gateway 是一款电子邮件安全网关设备，支持多种防护功能，如反垃圾邮件、反病毒、反钓鱼等。该漏洞是由于对 .tar 文件(磁带归档)的处理不完善，导致攻击者可以通过特定格式的文件名，触发远程命令注入漏洞，从而在设备上以 Email Security Gateway 产品的权限执行任意系统命令。
二、风险等级：
        高危
三、影响范围：
        5.1.3.001 <= Barracuda Email Security Gateway <= 9.2.0.006
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://status.barracuda.com/incidents/34kx82j5n4q9

---

3 ZLMediaKit 目录遍历漏洞(CVE-2023-31861)
一、漏洞描述：

        ZLMediaKit 是一款基于C++的开源流媒体服务框架，可用于构建高性能、低延迟、稳定可靠的音视频直播/点播服务。它提供了常见的媒体协议支持，如RTSP/RTP/RTMP/HLS/HTTP-FLV等，并支持多路并发推流和拉流处理。
        ZLMediaKit 在 4.0 版本存在目录遍历漏洞。攻击者可以利用该漏洞获取用户敏感信息并进行恶意操作，包括监控摄像头图像。
二、风险等级：
        高危
三、影响范围：
        ZLMediaKit 4.0
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://github.com/ZLMediaKit/ZLMediaKit

---

4 IceCMS 信息泄露(CVE-2023-33355)
一、漏洞描述：

        IceCMS 是一个基于 Spring Boot + Vue 前后端分离的内容管理系统。
        IceCMS 在 1.0 版本中存在信息泄露。未经授权的攻击者可以访问特定的API接口，获取全站用户的个人信息。
二、风险等级：
        高危
三、影响范围：
        IceCMS 1.0
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://github.com/Thecosy/IceCMS

---