免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表安天实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与安天实验室一律不予承担。
1 Dell Alienware Command Center 反序列化漏洞(CVE-2023-28072)
一、漏洞描述:
Dell Alienware Command Center是一个用于控制Alienware PC的功能的软件,例如颜色主题,热力和电源配置,以及游戏库。Dell Alienware Command Center 在 5.5.51.0 之前版本中存在反序列化漏洞。该漏洞存在于.NET Remoting服务器中,它对不可信数据进行了反序列化操作。如果反序列化的数据包含了恶意代码,那么就可能导致任意代码执行。一个本地恶意用户可以利用该漏洞,通过发送特制的请求给.NET Remoting服务器,来在系统上运行任意代码。这样就可以提升用户的权限,绕过安全限制,或者执行其他恶意操作。
二、风险等级:
高危
三、影响范围:
Alienware Command Center < 5.5.51.0
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://www.dell.com/support/kbdoc/zh-cn/000212982/dsa-2023-158
2 IceCMS 权限管理不当(CVE-2023-36100)
一、漏洞描述:
]
冰激凌内容管理系统,实现MacWK资源站,社区图片视频圈子CMS,支持网页端移动端小程序,适合做资讯商城,社区论坛,聊天交友 社区,博客,圈子,论坛,图片,视频,社交。IceCMS 2.0.1 版中发现了一个问题,允许攻击者通过特殊接口提升权限并获取敏感信息。
二、风险等级:
高危
三、影响范围:
IceCMS 2.0.1
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://github.com/Thecosy/IceCMS/issues/15
3 Typora 1.6.7 XSS漏洞(CVE-2023-39703)
一、漏洞描述:
Typora 是一款支持实时预览的 Markdown 文本编辑器,它有 macOS,Windows 及 Linux 三个平台的版本,可以方便地编辑和阅读 Markdown 文件。Typora 在 1.6.7 及之前版本中存在XSS漏洞。由于Typora对于embed标签处理不当,导致受害者在点击恶意的md文件时,会加载远端的html文件,从而导致XSS利用。
二、风险等级:
高危
三、影响范围:
Typora <= 1.6.7
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://typora.io/
4 D-Link DIR-859身份验证绕过漏洞(CVE-2023-36092)
一、漏洞描述:
D-Link DIR-859是中国友讯(D-Link)公司的一款无线路由器。D-Link DIR-859存在身份验证绕过漏洞,该漏洞源于phpcgi_main缺乏有效的身份验证,攻击者可利用该漏洞绕过身份认证。
二、风险等级:
高危
三、影响范围:
D-Link DIR-859 1.05b03
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://www.dlink.com/en/security-bulletin
|