免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表安天实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与安天实验室一律不予承担。
1 Smartbi 远程命令执行漏洞
一、漏洞描述:
Smartbi是广州思迈特软件有限公司旗下的商业智能BI和数据分析品牌,为企业客户提供一站式商业智能解决方案。Smartbi大数据分析产品融合BI定义的所有阶段,对接各种业务数据库、数据仓库和大数据分析平台,进行加工处理、分析挖掘和可视化展现;满足所有用户的各种数据分析应用需求,如大数据分析、可视化分析、探索式分析、复杂报表、应用分享等等。
Smartbi大数据分析平台存在远程命令执行漏洞,攻击者利用此漏洞向系统发送恶意数据,可以执行任意命令,导致系统被攻击与控制。
二、风险等级:
高危
三、影响范围:
V7<= Smartbi <= V10.5.8
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://www.smartbi.com.cn/patchinfo
2 Siemens Comos缓冲区溢出漏洞(CVE-2023-24482)
一、漏洞描述:
Siemens Comos是德国西门子(Siemens)公司的一个工厂工程软件解决方案。用于过程工业。
Siemens Comos存在缓冲区溢出漏洞,该漏洞源于在处理不受信任的输入时出现边界错误。攻击者可利用该漏洞在系统上执行任意代码或者导致拒绝服务。
二、风险等级:
高危
三、影响范围:
SIEMENS Comos >=V10.2,<10.3.3.1.45
SIEMENS Siemens Comos >=V10.3.3.1,<V10.3.3.1.45
SIEMENS Siemens Comos >=V10.3.3.2,<V10.3.3.2.33
SIEMENS Siemens Comos >=V10.3.3.3,<V10.3.3.3.9
SIEMENS Siemens Comos >=V10.3.3.4,<V10.3.3.4.6
SIEMENS Siemens Comos >=V10.4.0.0,<V10.4.0.0.31
SIEMENS Siemens Comos >=V10.4.1.0,<V10.4.1.0.32
SIEMENS Siemens Comos >=V10.4.2.0,<V10.4.2.0.2
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://cert-portal.siemens.com/productcert/pdf/ssa-693110.pdf
3 Google Chrome越界读取漏洞(CVE-2023-0698)
一、漏洞描述:
Google Chrome是美国谷歌(Google)公司的一款Web浏览器。
Google Chrome 110.0.5481.77之前版本存在越界读取漏洞。该漏洞源于WebRTC中对用户提供的数据缺乏适当的验证,特制数据可能会触发超过分配缓冲区末尾的读取。攻击者利用该漏洞通过特制的HTML页面执行越界内存读取。
二、风险等级:
高危
三、影响范围:
Spring Cloud Function < 3.2.6
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://chromereleases.googleblo ... te-for-desktop.html
4 OceanWP 目录遍历漏洞(CVE-2023-23700)
一、漏洞描述:
OceanWP 是WordPress 上最受欢迎的免费主题之一。
该主题存在经过身份验证的本地文件包含 (LFI) 漏洞,允许经过身份验证的用户在 WordPress 服务器上执行具有 .php 文件扩展名的本地文件包含并将其输出显示在屏幕上。利用存储凭据(例如数据库凭据)的文件则可能允许完全接管数据库。
二、风险等级:
高危
三、影响范围:
OceanWP <= 3.4.1
四、修复建议:
升级到最新版即可:
https://wordpress.org/themes/oceanwp/ |