设为首页

 找回密码
 注册创意安天
创意安天»论坛 社区服务 傲气安天 安全预警 漏洞风险提示(20230721)
返回列表 发新帖

漏洞风险提示(20230721)

[复制链接]
发表于 2023-7-21 09:40 | 显示全部楼层 |阅读模式
免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表安天实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与安天实验室一律不予承担。

1 Apache ShardingSphere 反序列化漏洞(CVE-2023-28754)
一、漏洞描述:
Apache ShardingSphere.jpg
        Apache ShardingSphere 是一个开源的分布式数据库中间件。在 Apache ShardingSphere 受影响版本中,由于 Apache ShardingSphere-Agent 在反序列化 YAML 配置文件时未正确验证不受信任数据,攻击者可以利用 SnakeYAML 反序列化 java.net.URLClassLoader 加载恶意 JAR 文件,再结合 javax.script.ScriptEngineManager 反序列化 JAR 文件来执行恶意代码。
二、风险等级:
        高危
三、影响范围:
        Apache ShardingSphere <= 5.4.0
四、修复建议:
        目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
        https://shardingsphere.apache.or ... ds/#latest-releases

2 Atlassian Confluence 远程代码执行漏洞(CVE-2023-22508)
一、漏洞描述:
Confluence.jpg
        Confluence 是由 Atlassian 开发的知识管理与协同软件,通常在企业内部用作wiki系统。Confluence7.19.8到8.2.0之前的版本中存在远程代码执行漏洞,具有登录权限的攻击者无需用户交互即可在 Confluence 服务器中执行任意命令。
二、风险等级:
        高危
三、影响范围:
        7.19.8 <= Atlassian Confluence < 8.2.0
四、修复建议:
        目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
        https://www.atlassian.com/software/confluence/download-archives

3 Citrix ADC 和 Citrix Gateway 远程代码执行漏洞(CVE-2023-3519)
一、漏洞描述:
Citrix.jpg
        Citrix ADC是应用程序交付和负载平衡解决方案,Citrix Gateway是一套安全的远程接入解决方案,常用于提供虚拟桌面和远程桌面服务,此外,Citrix ADC还被广泛用作Windows堡垒机。在 Citrix ADC 和 Citrix Gateway 受影响版本中,如果设备配置为网关(VPN 虚拟服务器、ICA 代理、CVPN、RDP 代理)或身份验证虚拟服务器。攻击者可以利用漏洞在未授权的情况下远程执行代码。
二、风险等级:
        高危
三、影响范围:
        13.1 <= Citrix ADC < 13.1-49.13
        13.1-FIPS <= Citrix ADC < 13.1-37.159
        12.1-FIPS <= Citrix ADC < 12.1-55.297
        12.1-NDcPP <= Citrix ADC < 12.1-55.297
        13.1 <= NetScaler Gateway < 13.1-49.13
        13.0 <= NetScaler Gateway < 13.0-91.13
四、修复建议:
        目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
        https://www.citrix.com/downloads/citrix-adc/

4 Spring Security 路径匹配漏洞(CVE-2023-34034)
一、漏洞描述:
spring security.JPG
        Spring Security 是一套为基于 Spring 的应用程序提供说明性安全保护的安全框架。Spring WebFlux是一种响应式编程模型来构建的Web应用程序。在 Spring Security 中,通配符字符 ** 可匹配路径分隔符 "/"。而在 Spring WebFlux 不可匹配路径分隔符。当 Spring WebFlux 使用 Spring Security 时,如果Spring Security使用 ** 来匹配 URL 路径,导致模式匹配的不一致。攻击者通过构造路径绕过 Spring Security 的安全检查,直接访问应用程序中资源。
二、风险等级:
        高危
三、影响范围:
        6.1.0 <= Spring Security < 6.1.2
        5.8.0 <= Spring Security < 5.8.5
        5.7.0 <= Spring Security < 5.7.10
        5.6.0 <= Spring Security < 5.6.12
四、修复建议:
        目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
        https://docs.spring.io/spring-se ... pring-security.html
回复

使用道具 举报

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 注册创意安天

本版积分规则

Archiver|手机版|小黑屋|创意安天 ( 京ICP备09068574,ICP证100468号。 )

GMT+8, 2024-12-28 00:51

Powered by Discuz! X3.5

© 2001-2024 Discuz! Team.

快速回复 返回顶部 返回列表