找回密码
 注册创意安天

漏洞风险提示(20230608)

[复制链接]
发表于 2023-6-8 09:31 | 显示全部楼层 |阅读模式
免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表安天实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与安天实验室一律不予承担。

1 Nacos 集群Raft反序列化漏洞(QVD-2023-13065)
一、漏洞描述:
        nacos.jpg
        Nacos是一个易于使用的平台,专为动态服务发现和配置以及服务管理而设计。可以帮助轻松构建云原生应用程序和微服务平台。
        在Nacos集群处理部分Jraft请求时,攻击者可以无限制使用hessian进行反序列化利用,最终实现代码执行。

二、风险等级:
        高危
三、影响范围:
        1.4.0<=Nacos<1.4.6
        2.0.0<=Nacos<2.2.3

四、修复建议:
        目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
        https://github.com/alibaba/nacos/releases/tag/1.4.6
        https://github.com/alibaba/nacos/releases/tag/2.2.3


2 ChuanhuChatGPT 信息泄露(CVE-2023-34094)
一、漏洞描述:
        ChuanhuChatGPT.jpg
        ChuanhuChatGPT是一个为ChatGPT/ChatGLM/LLaMA/StableLM/MOSS等多种LLM提供了一个轻快好用的Web图形界面。
        ChuanhuChatGPT在 20230526 及之前版本中存在信息泄露漏洞。该漏洞允许未经授权访问私人部署的ChuanhuChatGPT项目的config.json文件,攻击者可以利用此漏洞窃取配置文件中的API密钥。

二、风险等级:
        高危
三、影响范围:
        ChuanhuChatGPT <= 20230526
四、修复建议:
        目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
        https://github.com/GaiZhenbiao/ChuanhuChatGPT/tags


3 IBOS dashboard/approval/del SQL注入漏洞(CVE-2023-3100)
一、漏洞描述:
        IBOS.jpg
        IBOS是一个全新的企业协同办公管理平台。
        IBOS 在 4.5.5 版本中存在SQL注入漏洞,由于系统并未对用户输入的内容进行过滤,导致经过身份认证的攻击者可以利用 id 参数进行SQL注入,获取数据库中的敏感信息。

二、风险等级:
        高危
三、影响范围:
        IBOS 4.5.5
四、修复建议:
        目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
        http://www.ibos.com.cn/


4 Grafana 拒绝服务漏洞(CVE-2023-2801)
一、漏洞描述:
        grafana.jpg
        Grafana 是一个用于监控和可观察性的开源平台。
        使用公共仪表板,用户可以使用混合查询多个不同的数据源。但是,此类查询可能会使 Grafana 实例崩溃。目前唯一使用混合查询的功能是公共仪表板,但也可以通过直接调用查询 API 来导致这种情况。

二、风险等级:
        高危
三、影响范围:
        9.4.x <= Grafana < 9.4.12
        9.5.x <= Grafana < 9.5.3

四、修复建议:
        目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
        https://grafana.com/grafana/down ... lfmanaged-box1-cta1

您需要登录后才可以回帖 登录 | 注册创意安天

本版积分规则

Archiver|手机版|小黑屋|创意安天 ( 京ICP备09068574,ICP证100468号。 )

GMT+8, 2024-12-28 02:56

Powered by Discuz! X3.5

© 2001-2024 Discuz! Team.

快速回复 返回顶部 返回列表