漏洞风险提示（20230423）

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内 容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 Strapi 信息泄露漏洞(CVE-2023-22894)
一、漏洞描述：
       
        Strapi 是一个开源的内容管理系统。3.2.1 <= Strapi < 4.8.04.7.1 允许未经身份验证的攻击者查看 Strapi 管理员和 API 用户的敏感用户详细信息。
二、风险等级：
        高危
三、影响范围：
        3.2.1 <= Strapi < 4.8.0
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://github.com/strapi/strapi/releases

---

2 Google Android PackageInstallerSession.java 权限提升漏洞(CVE-2023-21099)
一、漏洞描述：
       
        Google Android是美国谷歌(Google)公司的一套以Linux为基础的开源操作系统。 Android-11/Android-12/Android-12L/Android-13在PackageInstallerSession.java的多个方法中，由于代码中的逻辑错误，有可能从后台启动前台服务。这可能导致本地权限升级，不需要额外的执行权限。利用时不需要用户互动。
二、风险等级：
        高危
三、影响范围：
        Android-11
        Android-12
        Android-12L
        Android-13
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://source.android.com/docs/ ... 2023-04-01?hl=zh-cn

---

3 Linux Kernel 空指针引用漏洞(CVE-2023-2166)
一、漏洞描述：
       
        Linux Kernel是Linux基金会的开源操作系统Linux所使用的内核。 Linux 内核在处理 CAN 帧的接收路径时，可能没有初始化 ml_priv 指针，导致空指针解引用。
二、风险等级：
        高危
三、影响范围：
        Linux Kernel < 6.1 RC9
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://lore.kernel.org/lkml/CAO ... n5w@mail.gmail.com/

---

4 Spring Boot 安全绕过漏洞(CVE-2023-20873)
一、漏洞描述：
       
        Spring Boot是一个基于Spring框架的快速开发应用程序的框架，它通过约定大于配置的方式，帮助开发人员快速构建可独立运行的、生产级别的应用程序。 在3.0.0-3.0.5、2.7.0-2.7.10及之前的不再支持的旧版本中，当Spring Boot应用程序被部署到Cloud Foundry时可能会受到利用通配符模式匹配的安全绕过的影响。
二、风险等级：
        高危
三、影响范围：
        3.0.0 <= Spring Boot <= 3.0.5
        2.7.0 <= Spring Boot <= 2.7.10
        Spring Boot 不再支持的旧版本
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://github.com/spring-projects/spring-boot/releases

---