漏洞风险提示（20230407）

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 Google Chrome越界访问漏洞(CVE-2023-1529)
一、漏洞描述：

    Google Chrome 111.0.5563.110之前版本存在越界访问漏洞，该漏洞源于Chrome WebHID中存在越界内存访问，远程攻击者可利用该漏洞通过恶意HID设备潜在地利用堆损坏。
二、风险等级：
    高危
三、影响范围：
    Google Chrome <111.0.5563.110
四、修复建议：
    目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
    https://chromereleases.googleblo ... for-desktop_21.html

---

2 Delta Electronics InfraSuite Device Master命令注入漏洞( CVE-2023-1141)
一、漏洞描述：

    Delta Electronics InfraSuite Device Master 1.0.5之前版本存在命令注入漏洞，攻击者可利用该漏洞注入任意命令，从而可能导致远程代码执行。
二、风险等级：
    高危
三、影响范围：
    Delta Electronics InfraSuite Device Master <1.0.5
四、修复建议：
    目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
    https://www.deltapowersolutions. ... aster-downloads.php

---

3 GitLab 安全漏洞(CVE-2022-3513)
一、漏洞描述：

    GitLab存在安全漏洞。攻击者利用该漏洞执行反射型跨站脚本(XSS)攻击。
二、风险等级：
    高危
三、影响范围：
    GitLab CE/EE 15.10.1之前的15.10.x版本，15.9.4之前的15.9.x版本，15.8.5之前的15.8.x版本
四、修复建议：
    目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
    https://gitlab.com/gitlab-org/gitlab/-/releases

---

4 Docker Desktop CR凭证泄漏漏洞(CVE-2023-1802)
一、漏洞描述：

    Docker Desktop 4.17.x 版本中当启用 Access experimental features 选项时，私有容器注册表会定期向 /artifactory/api/system/ping 端点发送 HTTP GET 请求，由于请求未使用加密协议，可登录私有容器注册表的攻击者可通过捕捉网络流量获取请求头中的 CR 凭证。
二、风险等级：
    高危
三、影响范围：
    Docker Desktop 4.17.x
四、修复建议：
    目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
    https://docs.docker.com/desktop/release-notes/#4180

---