漏洞风险提示（20230426）

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内 容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 Apache Superset 会话认证漏洞(CVE-2023-27524)
一、漏洞描述：
       
        Apache Superset 是一个开源的数据探索和可视化平台。 如果没有根据安装说明更改默认配置的 SECRET_KEY ，将会允许攻击者访问未经授权的资源。
二、风险等级：
        高危
三、影响范围：
        Apache Superset <= 2.0.1
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://superset.apache.org/docs ... erset-from-scratch/

---

2 Apache Jena Javascript表达式注入漏洞(CVE-2023-22665)
一、漏洞描述：
       
        Apache Jena 是一款开源的语义网框架，提供用于构建语义 Web 应用程序的工具和 API。 Apache Jena在4.7.0及以前的版本中存在远程代码执行漏洞，在调用自定义脚本时，对用户查询的内容检查不足。允许远程用户通过SPARQL执行任意的JavaScript。
二、风险等级：
        高危
三、影响范围：
        Apache Jena <= 4.7.0
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://jena.apache.org/download/index.cgi

---

3 泛微E-COLOGY SQL注入漏洞
一、漏洞描述：
       
        泛微协同管理应用平台(e-cology)是一套兼具企业信息门户、知识文档管理、工作流程管理、人力资源管理、客户关系管理、项目管理、财务管理、资产管理、供应链管理、数据中心功能的企业大型协同管理平台。由于Ecology 对用户输入内容的验证存在缺陷。未经身份验证的远程攻击者通过向目标系统发送特制的字符串，可实现获取目标数据库中的敏感信息。
二、风险等级：
        高危
三、影响范围：
        e-cology9 补丁版本 <= v10.56
        e-cology8 补丁版本 <= v10.56
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://www.weaver.com.cn/cs/securityDownload.html?src=cn

---

4 Sophos Web Appliance 命令注入漏洞(CVE-2023-1671)
一、漏洞描述：
       
        Sophos Web Appliance是Sophos公司的一款防火墙。Sophos Web Appliance 4.3.10.4之前版本存在安全漏洞，该漏洞源于存在未授权命令注入漏洞，允许执行任意代码。
二、风险等级：
        高危
三、影响范围：
        sophos web_appliance 3.0.0
        sophos web_appliance 3.0.1
        sophos web_appliance 3.0.1.1
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://www.sophos.com/en-us/sup ... rtual-web-appliance

---