设为首页

 找回密码
 注册创意安天
创意安天»论坛 社区服务 傲气安天 安全预警 漏洞风险提示(20230228)
返回列表 发新帖

漏洞风险提示(20230228)

[复制链接]
发表于 2023-2-28 09:20 | 显示全部楼层 |阅读模式

免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表安天实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与安天实验室一律不予承担。

1 HAProxy请求走私漏洞(CVE-2023-25725)
一、漏洞描述:     

    2.7.3之前的HAProxy可能允许绕过访问控制,因为HTTP/1报头在某些情况下会无意中丢失,也就是“请求走私”。HAProxy中的HTTP报头解析器可能接受空报头字段名,这可以用来截断HTTP报头列表,从而在解析和处理HTTP/1.0和HTTP/1.1后使一些报头消失。
二、风险等级:
    高危
三、影响范围:
    HAProxy 2.0 < 2.0.31
    HAProxy 2.2 < 2.2.29
    HAProxy 2.4 < 2.4.22
    HAProxy 2.5 < 2.5.12
    HAProxy 2.6 < 2.6.9
    HAProxy 2.7 < 2.7.3
    HAProxy Enterprise 2.0r1 < 2.0r1-1.0.0-248.1534
    HAProxy Enterprise 2.2r1 < 2.2r1-1.0.0-254.929
    HAProxy Enterprise 2.4r1 < 2.4r1-1.0.0-285.1010
    HAProxy Enterprise 2.5r1 < 2.5r1-1.0.0-285.653
    HAProxy Enterprise 2.6r1 < 2.6r1-1.0.0-288.770
    HAProxy ALOHA 12.5 < 12.5.18
    HAProxy ALOHA 13.5 < 13.5.19
    HAProxy ALOHA 14.0 < 14.0.11
    HAProxy ALOHA 14.5 < 14.5.6
    HAProxy Kubernetes Ingress Controller 1.7 < 1.7.12
    HAProxy Kubernetes Ingress Controller 1.8 < 1.8.1
    HAProxy Kubernetes Ingress Controller 1.9 < 1.9.3
    HAProxy Enterprise Kubernetes Ingress Controller 1.7 < 1.7.12
四、修复建议:
    目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://www.haproxy.com/document ... d/firmware-updates/

2 LuckyframeWEB SQL注入漏洞(CVE-2023-24220)
一、漏洞描述:     

    发现LuckyframeWEB v3.5通过/system/RoleMapper.xml中的dataScope参数包含一个SQL注入漏洞。
二、风险等级:
    高危
三、影响范围:
    LuckyframeWEB v3.5
四、修复建议:
    目前厂商暂未发布修复措施解决此安全问题,建议关注厂商主页或参考网址以获取解决办法:
http://www.luckyframe.cn/

3 Python urllib URL验证绕过漏洞(CVE-2023-24329)
一、漏洞描述:     
python.jpg
    urllib中的一个问题。Python v3.11之前的parse组件允许攻击者通过提供一个以空白字符开头的URL来绕过阻塞列表方法。
二、风险等级:
    高危
三、影响范围:
    Python < 3.11
四、修复建议:
    目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://github.com/microsoft/CBL-Mariner/pull/4937

4 Microsoft Exchange Server 远程代码执行漏洞(CVE-2023-21529)
一、漏洞描述:     
Microsoft Windows.jpg
    该漏洞存在于Microsoft Exchange Server中,是一个远程代码执行漏洞。经过身份认证、有权访问 Exchange PowerShell 路由的远程攻击者可利用该漏洞在服务器Exchange账户的权限下执行任意代码,并接管该 Exchange 服务器。
二、风险等级:
    高危
三、影响范围:
    Microsoft Exchange Server 2016 Cumulative Update 23
Microsoft Exchange Server 2013 Cumulative Update 23
Microsoft Exchange Server 2019 Cumulative Update 11
Microsoft Exchange Server 2019 Cumulative Update 12
四、修复建议:
    目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://msrc.microsoft.com/updat ... lity/CVE-2023-21529
回复

使用道具 举报

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 注册创意安天

本版积分规则

Archiver|手机版|小黑屋|创意安天 ( 京ICP备09068574,ICP证100468号。 )

GMT+8, 2024-11-27 06:09

Powered by Discuz! X3.5

© 2001-2024 Discuz! Team.

快速回复 返回顶部 返回列表