漏洞风险提示（20230327）

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内 容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 Parallels Desktop for Mac产品中Toolgate组件路径穿越漏洞(CVE-2023-27326)
一、漏洞描述：

    Parallels Desktop for Mac产品中Toolgate组件存在路径穿越漏洞，攻击者可利用该漏洞允许隔离中的恶意程序通过虚拟机逃逸在宿主机中执行任意代码。
二、风险等级：
    高危
三、影响范围：
    Parallels Parallels Desktop for Mac <18.1.1 (53328)
四、修复建议：
    目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
    https://www.parallels.cn/products/desktop/

---

2 MinIO 信息泄露漏洞(CVE-2023-28432)
一、漏洞描述：

    MinIO 存在信息泄露漏洞，在集群部署的MinIO中，未经身份认证的远程攻击者通过发送特殊HTTP请求即可获取所有环境变量，其中包括MINIO_SECRET_KEY和MINIO_ROOT_PASSWORD，造成敏感信息泄露，最终可能导致攻击者以管理员身份登录MinIO。
二、风险等级：
    高危
三、影响范围：
    MinIO RELEASE.2019-12-17T23-16-33Z
四、修复建议：
    目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
    https://github.com/minio/minio

---

3 Rebuild list-file sql injection(CVE-2023-1612)
一、漏洞描述：

    rebuild系统的/files/list-file接口中存在SQL注入漏洞，攻击者可利用该漏洞获取数据库信息。
二、风险等级：
    高危
三、影响范围：
    <=3.2.3
四、修复建议：
    目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
    https://github.com/getrebuild/rebuild/releases

---

4 Tailscale 安全特性绕过漏洞(CVE-2023-28436)
一、漏洞描述：

    Tailscale是使用Wireguard和多因素身份验证(MFA)的软件。该漏洞可以使用比指定规则更高的特权组ID来运行命令。
二、风险等级：
    高危
三、影响范围：
    <1.38.2
四、修复建议：
    目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
    https://tailscale.com/download/

---