漏洞风险提示（20230329）

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 IBM Aspera Faspex SQL注入漏洞(CVE-2023-27871)
一、漏洞描述：

    IBM Aspera Faspex 4.4.2版本存在SQL注入漏洞。该漏洞源于应用缺少对外部输入SQL语句的验证，攻击者可利用该漏洞使用特制的SQL查询获取外部用户的敏感凭证信息。
二、风险等级：
    高危
三、影响范围：
    IBM Aspera Faspex 4.4.2
四、修复建议：
    目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
    https://www.ibm.com/support/pages/node/6964694

---

2 IBM Aspera XML外部实体注入漏洞(CVE-2023-27874)
一、漏洞描述：

    IBM Aspera Faspex 4.4.2版本存在XML外部实体注入漏洞，该漏洞源于在处理XML数据时未设置正确的过滤允许引用外部实体。攻击者利用该漏洞可以执行任意命令。
二、风险等级：
    高危
三、影响范围：
    IBM Aspera Faspex 4.4.2
四、修复建议：
    目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
    https://www.ibm.com/support/pages/node/6964694

---

3 IBM WebSphere Application Server输入验证错误漏洞(CVE-2023-26281)
一、漏洞描述：

    IBM WebSphere Application Server HTTP Server 8.5版本存在输入验证错误漏洞，该漏洞源于未对输入的错误消息做正确的处理，远程攻击者可利用该漏洞通过使用特制URL导致拒绝服务。
二、风险等级：
    高危
三、影响范围：
    IBM IBM WebSphere Application Server 8.5
四、修复建议：
    目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
    https://www.ibm.com/support/pages/node/6958522

---

4 redis-py 条件竞争漏洞(CVE-2023-28858)
一、漏洞描述：

     Redis 客户端开源库 redis-py 存在信息泄露漏洞，使用 Asyncio 时，如果在发送命令之后但在接收和解析响应之前取消请求将会造成链接损坏，后续同一连接上的操作请求将会接收到上一个已取消命令的响应，这可能会导致信息泄露。
二、风险等级：
    高危
三、影响范围：
    redis-py 4.3.* < 4.3.6
redis-py 4.4.* < 4.4.3
redis-py 4.5.* < 4.5.3
四、修复建议：
    目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
    https://github.com/redis/redis-py/releases

---