免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表安天实验室观点,因此第三方对以下内 容进行分享、传播等行为,以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与安天实验室一律不予承担。
1 Apache StreamPark 任意文件上传漏洞(CVE-2022-45802)
一、漏洞描述:
Apache StreamPark是一个流处理应用开发框架和操作管理平台,基于Apache Flink和Apache Spark,提供了开发脚手架、 多种连接器、任务编译、发布、配置、启动、监控等功能,旨在简化流处理的开发和运维。 Apache StreamPark 1.0.0 到 2.0.0 版本存在任意文件上传漏洞,Streampark允许任何用户上传一个jar作为应用程序,但是没有强制验证上传的文件类型,导致用户上传一些有风险的文件,并可能上传到任意目录。
二、风险等级:
高危
三、影响范围:
1.0.0 <= Apache StreamPark < 2.0.0
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://streampark.incubator.apache.org/zh-CN/download
2 PowerJob 未授权远程代码执行漏洞(CVE-2023-29926)
一、漏洞描述:
PowerJob是一个开源的分布式任务调度和计算框架,致力于提供简单易用、高可靠性、高伸缩性的任务执行和计算服务。 PowerJob V4.3.2版本存在一个未授权接口,可以导致远程代码执行。
二、风险等级:
高危
三、影响范围:
PowerJob V4.3.2
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://github.com/PowerJob/PowerJob/releases
3 IBM SDK, Java Technology Edition 信息泄露漏洞(CVE-2023-30441)
一、漏洞描述:
IBM SDK, Java Technology Edition是IBM提供的一个Java运行时环境,其中的IBMJCEPlus和JSSE组件存在一个信息泄露漏洞,攻击者可以利用一系列的缺陷和配置,获取敏感信息。
二、风险等级:
高危
三、影响范围:
8.0.7.0 <= IBM SDK
Java Technology Edition <= 8.0.7.11
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://www.ibm.com/support/pages/java-sdk
4 Cisco Industrial Network Director 命令注入漏洞(CVE-2023-20036)
一、漏洞描述:
Cisco Industrial Network Director (IND) 是管理工业网络的重要工具,尤其是在需要高安全标准的环境中。此漏洞存在于 Cisco IND 的 Web UI 中,允许经过身份验证的远程攻击者在受影响设备的底层操作系统上以管理权限执行任意命令。
二、风险等级:
高危
三、影响范围:
IND< 1.11.3
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://www.cisco.com/c/en/us/td ... notes-ind-1-11.html
|
发表于 2023-4-24 09:18
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
显身卡