找回密码
 注册创意安天

漏洞风险提示(20230908)

[复制链接]
发表于 2023-9-8 09:20 | 显示全部楼层 |阅读模式
免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表安天实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与安天实验室一律不予承担。

1 Cacti SQL注入漏洞(CVE-2023-39361)
一、漏洞描述:
        Cacti.jpg
        Cacti是一套基于PHP,MySQL,SNMP及RRDTool开发的网络流量监测图形分析工具,为世界各地的用户提供强大且可扩展的操作监控和故障管理框架。在 graph_view.php 中存在一个SQL 注入漏洞。由于访客用户在默认情况下无需验证即可访问 graph_view.php,如果访客用户在启用状态,则该漏洞则无需任何授权即可进行利用。
二、风险等级:
        高危
三、影响范围:
        cacti<=1.2.24
四、修复建议:
        目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
        https://github.com/Cacti/cacti/s ... GHSA-6r43-q2fw-5wrg


2 Ivanti Sentry 命令执行漏洞(CVE-2023-38035)
一、漏洞描述:
        Ivanti Sentry.jpg
        Ivanti是一家IT软件公司,它生产用于IT安全,IT服务管理,IT资产管理,统一端点管理,身份管理和供应链管理的软件。Ivanti MobileIron Sentry 9.18.0 及更低版本中的 MICS 管理门户中存在安全漏洞,由于 Apache HTTPD 配置限制不足,该漏洞可能允许攻击者绕过管理界面上的身份验证控制。
二、风险等级:
        高危
三、影响范围:
        MobileIron Sentry<=9.18.0
四、修复建议:
        目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
        https://forums.ivanti.com/s/arti ... 8035?language=en_US


3 飞腾云端HR Portal 配置不当漏洞(CVE-2023-34357)
一、漏洞描述:
        HR Portal.jpg
        飞腾云端HR Portal是一个提供人力资源管理和解决方案的网站,它可以帮助企业进行人事薪资、考勤、绩效、培训、招聘等各项HR业务。飞腾云端HR Portal 在 7.3.2023.0705 版本之前存在配置不当漏洞。密码重设连结在密码重设后以及预期时效过后仍然有效。远端攻击者可利用此漏洞进行密码修改,进而登入系统,操作该登入帐号的权限。
二、风险等级:
        高危
三、影响范围:
        飞腾云端HR Portal < 7.3.2023.0705
四、修复建议:
        目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
        https://www.twcert.org.tw/tw/cp-132-7347-2653e-1.html


4 Google Chrome 越界读取漏洞(CVE-2023-4761)
一、漏洞描述:
        google.jpg
        Google Chrome是一款由Google公司开发的免费网页浏览器,它基于其他开源软件(如WebKit)编写,目标是提升稳定性、速度和安全性,并创造出简单且有效率的用户界面。Google Chrome 在 116.0.5845.179 之前版本中,FedCM 的越界内存访问允许入侵渲染器进程的远程攻击者通过伪造的 HTML 页面执行越界内存读取。
二、风险等级:
        高危
三、影响范围:
        Google Chrome < 116.0.5845.179
四、修复建议:
        目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
        https://chromereleases.googleblo ... te-for-desktop.html

您需要登录后才可以回帖 登录 | 注册创意安天

本版积分规则

Archiver|手机版|小黑屋|创意安天 ( 京ICP备09068574,ICP证100468号。 )

GMT+8, 2024-11-23 11:51

Powered by Discuz! X3.5

© 2001-2024 Discuz! Team.

快速回复 返回顶部 返回列表