找回密码
 注册创意安天

漏洞风险提示(20231128)

[复制链接]
发表于 2023-11-28 09:29 | 显示全部楼层 |阅读模式
免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表安天实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与安天实验室一律不予承担。

1 Apache DolphinScheduler 信息泄漏漏洞(CVE-2023-48796)
一、漏洞描述:
        Apache DolphinScheduler.jpg
        Apache DolphinScheduler 是一个分布式、易扩展、可视化的工作流任务调度平台。Apache DolphinScheduler存在信息泄露漏洞,受影响版本中,由于没有限制暴露的端点,导致所有端点全部暴露。
        未经授权的攻击者可以通过访问其他端点获取获取敏感数据。如访问/actuator/configprops端点查看所有配置属性,可能泄露数据库凭证信息,攻击者可以通过凭证获得对底层数据库的访问权限,损害系统的完整性和安全性。

二、风险等级:
        高危
三、影响范围:
        3.0.0<=Apache DolphinScheduler<3.0.2
四、修复建议:
        目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
        https://github.com/apache/dolphinscheduler/releases


2 sequelize-typescript 原型链污染(CVE-2023-6293)
一、漏洞描述:
       
        sequelize-typescript 是一个在Node.js中使用Sequelize ORM的TypeScript库,可以简化数据库操作并提供类型安全。
        sequelize-typescript 在 2.1.6 版本之前存在原型链污染。未授权的攻击者可以利用该漏洞进行参数污染,这可能导致远程代码执行等利用。

二、风险等级:
        高危
三、影响范围:
        sequelize-typescript < 2.1.6
四、修复建议:
        目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
        https://github.com/sequelize/sequelize-typescript/releases


3 Meshery SQL注入漏洞(CVE-2023-46575)
一、漏洞描述:
        Meshery.jpg
        Meshery是一个开源云原生管理器,可以设计和管理所有基于 Kubernetes 的基础设施和应用程序。
        Meshery 0.6.179 之前的版本在api/system/database中存在 SQL 注入漏洞,由于对输入的参数值过滤不当,导致远程威胁者可通过order参数获取敏感信息并执行代码。

二、风险等级:
        高危
三、影响范围:
         Meshery 版本< 0.6.179
四、修复建议:
        目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
        https://github.com/meshery/meshery/releases


4 Apache Storm 信息泄露(CVE-2023-43123)
一、漏洞描述:
        Apache Storm.jpg
        Apache Storm是一个开源的分布式实时计算系统,可用于处理大规模、高速的数据流。它提供了高度可扩展性、容错性和可靠性,适用于在实时环境中进行流式数据处理和分析。
        Apache Storm 在 2.0.0 至 2.6.0 之前存在信息泄露漏洞。由于在 Linux 下临时目录是所有用户共享,因此在未明确设置文件/目录的情况下,API 会向临时目录写入内容,从而导致信息泄露。

二、风险等级:
        高危
三、影响范围:
        2.0.0 <= Apache Storm < 2.6.0
四、修复建议:
        目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
        https://storm.apache.org/downloads.html

您需要登录后才可以回帖 登录 | 注册创意安天

本版积分规则

Archiver|手机版|小黑屋|创意安天 ( 京ICP备09068574,ICP证100468号。 )

GMT+8, 2024-11-23 11:53

Powered by Discuz! X3.5

© 2001-2024 Discuz! Team.

快速回复 返回顶部 返回列表