找回密码
 注册创意安天

漏洞风险提示(20230612)

[复制链接]
发表于 2023-6-12 09:35 | 显示全部楼层 |阅读模式
免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表安天实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与安天实验室一律不予承担。

1 Directorist 任意用户密码重置漏洞(CVE-2023-1888)
一、漏洞描述:
        wordpress.jpg
        Directorist插件是一个可以创建商业目录或分类广告网站的WordPress插件,有多种功能和选项,支持自定义和兼容。
        WordPress的Directorist插件在7.5.4之前的版本中由于login.php中缺少验证检查,从而容易受到任意用户密码重置的攻击。

二、风险等级:
        高危
三、影响范围:
        Directorist <= 7.5.4
四、修复建议:
        目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
        https://wordpress.org/plugins/directorist/


2 Jeecg-P3-Biz-Chat 任意文件读取漏洞(CVE-2023-33510)
一、漏洞描述:
        jeecg.jpg
        Jeecg-P3-Biz-Chat 是一个基于 JEECG P3 平台的在线聊天模块,可以实现用户之间的即时通讯,支持文字、图片、表情等消息类型。
        Jeecg-P3-Biz-Chat 在 1.0.5 版本中存在任意文件读取漏洞。未经授权的攻击者可以通过访问特定路由,然后利用"../"的方式读取服务器中的任意文件内容。

二、风险等级:
        高危
三、影响范围:
        Jeecg P3 Biz Chat 1.0.5
四、修复建议:
        目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
        https://gitee.com/jeecg/jeecg-p3


3 Marval MSM 远程执行代码漏洞(CVE-2023-33284)
一、漏洞描述:
        marval.jpg
        Marval MSM是英国Marval公司的一个创新的IT服务管理软件。
        Marval MSM 14.19.0.12476 和 15.0版本存在远程执行代码漏洞。经过身份验证的远程攻击者能够在 Web 服务器的上下文中执行代码。

二、风险等级:
        高危
三、影响范围:
        14.19.0.12476、15.0 和 15.1
四、修复建议:
        目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
        https://marvalglobal.com/


4 snowflake-connector-net 命令注入漏洞(CVE-2023-34230)
一、漏洞描述:
        snowflake.jpg
        snowflake-connector-net是一个用于开发应用程序的.NET接口,它可以连接到Snowflake数据库并执行各种操作。
        snowflake-connector-net 在 2.0.18 版本之前存在命令注入漏洞。该漏洞通过SSO URL身份验证进行命令注入,从而导致远程代码执行。

二、风险等级:
        高危
三、影响范围:
        snowflake-connector-net < 2.0.18
四、修复建议:
        目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
        https://github.com/snowflakedb/s ... eleases/tag/v2.0.18

您需要登录后才可以回帖 登录 | 注册创意安天

本版积分规则

Archiver|手机版|小黑屋|创意安天 ( 京ICP备09068574,ICP证100468号。 )

GMT+8, 2024-12-28 03:19

Powered by Discuz! X3.5

© 2001-2024 Discuz! Team.

快速回复 返回顶部 返回列表