漏洞风险提示（20230313）

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内 容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 Apache Commons FileUpload & Apache Tomcat拒绝服务漏洞预警(CVE-2023-24998)
一、漏洞描述：

    由于Apache Commons FileUpload对请求部分要处理的数量未做限制，导致攻击者可以利用此漏洞恶意上传或一系列上传触 发拒绝服务。Apache Tomcat由于使用Apache Commons FileUpload的打包重命名副本来提供Jakarta Servlet规范中定义的文件上传功能。因此，Apache Tomcat也受到CVE-2023-24998影响。
二、风险等级：
    高危
三、影响范围：
    Apache Commons FileUpload 1.0-beta-1 - 1.4
    Apache Tomcat 11.0.0-M1
    Apache Tomcat 10.1.0-M1 - 10.1.4
    Apache Tomcat 9.0.0-M1 - 9.0.70
    Apache Tomcat 8.5.0 - 8.5.84
四、修复建议：
    目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
    https://commons.apache.org/prope ... load_fileupload.cgi

---

2 Apache Kafka Connect 远程代码执行漏洞预警(CVE-2023-25194)
一、漏洞描述：

    当通过 Kafka Connect REST API 配置连接器时，经过身份验证的攻击者可以通过修改连接器的Kafka 客户端属性配置进行JNDI注入攻击，最终可导致在目标服务器上执行任意代码。目前POC已公开，风险高。
二、风险等级：
    高危
三、影响范围：
    Apache Kafka  2.3.0 - 3.3.2
四、修复建议：
    目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
    https://github.com/apache/Kafka/tags

---

3 ZTE MF286R命令注入漏洞(CVE-2022-39073)
一、漏洞描述：

    ZTE Mobile MF286R Nordic_MF286R_B06存在存在命令注入漏洞，该漏洞源于输入参数验证不充分，攻击者可利用该漏洞执 行任意命令。
二、风险等级：
    高危
三、影响范围：
     ZTE MF286R Nordic_MF286R_B06
四、修复建议：
    目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
    https://support.zte.com.cn/suppo ... aspx?newsId=1028664

---

4 ZTE ZXHN-H108NS堆栈缓冲区溢出漏洞(CVE-2022-45957)
一、漏洞描述：

    ZTE ZXHN-H108NS存在堆栈缓冲区溢出漏洞，远程攻击者可利用此漏洞导致设备崩溃。
二、风险等级：
    高危
三、影响范围：
     ZTE ZTE ZXHN-H108NS router H108NSV1.0.7u_ZRD_GR2_A68
四、修复建议：
    目前厂商暂未发布修复措施解决此安全问题，建议关注厂商主页或参考网址以获取解决办法：
    https://support.zte.com.cn/

---