漏洞风险提示（20230130）

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 GIT gitattributes整数溢出漏洞(CVE-2022-23521)
一、漏洞描述：     

    Git是分布式版本控制系统。gitattributes是一种允许为路径定义属性的机制。这些属性可以通过向存储库中添加一个“.gitattributes”文件来定义，该文件包含一组文件模式和应为匹配此模式的路径设置的属性。在分析gitattributes时，当存在大量路径模式、单个模式的大量属性或声明的属性名称巨大时，可能会发生多个整数溢出。这些溢出可以通过可能是提交历史的一部分的特制“.gitattributes”文件触发。当从文件中解析gitattributes时，Git会无声地分割长度超过2KB的行，但当从索引中解析它们时则不会。因此，失败模式取决于文件是否存在于工作树、索引或两者中。此整数溢出可能导致任意的堆读写操作，这可能导致远程代码执行。
二、风险等级：
    高危
三、影响范围：
    GIT gitattributes < v2.30.7
四、修复建议：
    目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
https://github.com/git/git/commi ... e491f422c98cc69ae76

---

2 TongWeb管理控制台存在命令执行漏洞(CNVD-2022-16268)
一、漏洞描述：     

    TongWeb是北京东方通科技股份有限公司的一款应用服务器。
TongWeb管理控制台存在命令执行漏洞，攻击者可利用该漏洞获取服务器控制权限。
二、风险等级：
    高危
三、影响范围：
    北京东方通科技股份有限公司 TongWeb管理控制台
四、修复建议：
    目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
http://www.tongtech.com/dft/newsDetail/101627.html

---

3 VMware vRealize Log Insight 远程代码执行漏洞 (CVE-2022-31704)
一、漏洞描述：     

    VMware vRealize Log Insight存在安全漏洞，未经身份验证的攻击者可以将文件注入受影响设备的操作系统，从而导致远程代码执行。
二、风险等级：
    高危
三、影响范围：
    8.0 <= VMware vRealize Log Insight < 8.10.2
四、修复建议：
    目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
https://www.vmware.com/security/advisories/VMSA-2023-0001.html

---

4 Weblogic远程代码执行漏洞 (CVE-2023-21839)
一、漏洞描述：     

    该漏洞允许未经身份验证的攻击者通过IIOP协议网络访问并破坏易受攻击的WebLogic Server，成功利用漏洞可能造成远程代码执行。
二、风险等级：
    高危
三、影响范围：
    Weblogic 12.2.1.3.0
    Weblogic 12.2.1.4.0
    Weblogic 14.1.1.0.0
四、修复建议：
    目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
https://www.oracle.com/security-alerts/cpujan2023.html