免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表安天实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与安天实验室一律不予承担。
1 Parse Server 远程代码执行漏洞(CVE-2023-36475)
一、漏洞描述:
Parse Server是GitHub上的一个开源项目,它为 iOS、macOS、Android和tvOS提供推送通知功能。该软件是一个后端系统,与任何能够运行Node.js(Express Web应用程序框架)的基础设施兼容,并且可以独立运行或与现有的Web 应用程序一起运行。
由于对用户控制的参数缺乏过滤,导致MongoDB BSON解析器解析恶意构造的BSON数据时易受原型污染的影响,可利用该漏洞远程执行任意代码。
二、风险等级:
高危
三、影响范围:
Parse Server < 5.5.2
Parse Server < 6.2.1
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://github.com/parse-communi ... GHSA-462x-c3jw-7vr6
2 Xiamen Si Xin Communication Technology Video management system失效的身份认证漏洞(CVE-2023-34656)
一、漏洞描述:
Xiamen Si Xin Communication Technology Video management system是中国厦门四信通信科技(Xiamen Si Xin Communication Technology)公司的一个视频管理系统。
攻击者可以通过访问登陆地址获得有效的JSESSIONID值,从而获取系统管理员后台权限。
二、风险等级:
高危
三、影响范围:
3.1<= Xiamen Si Xin Communication Technology Video management system <=4.1
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
http://www.four-faith.com/
3 DOOR Property Cloud Platform Management Center SQL注入漏洞(CVE-2023-34735)
一、漏洞描述:
DOOR Property Cloud Platform Management Center是中国道尔智控(DOOR)公司的一个物业云平台管理中心。
攻击者可以在登录页面利用Payload进行SQL注入攻击,从而获取数据库中的敏感信息。
二、风险等级:
高危
三、影响范围:
DOOR Property Cloud Platform Management Center 1.0
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://propertymanagercloud.com/
4 PrestaShop路径遍历漏洞(CVE-2023-30197)
一、漏洞描述:
PrestaShop是美国PrestaShop公司的一套开源的电子商务解决方案,该方案提供多种支付方式、短消息提醒和商品图片缩放等功能。
由于访问控制错误,攻击者可利用该漏洞通过执行路径遍历攻击以不受限制地下载个人信息。
二、风险等级:
高危
三、影响范围:
PrestaShop PrestaShop PrestaShop <= 1.6.6
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://github.com/PrestaShop/PrestaShop/releases/tag/8.0.4
|
发表于 2023-7-3 09:26
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
显身卡