免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表安天实验室观点,因此第三方对以下内 容进行分享、传播等行为,以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与安天实验室一律不予承担。
1 AVideo 命令注入漏洞(CVE-2023-30842)
一、漏洞描述:
AVideo 是一个基于 PHP 的开源视频分享和流媒体平台,提供丰富的视频管理和播放功能,适用于个人或机构的视频内容管理和共享。 AVideo 在12.4版本之前存在命令注入漏洞,经过身份认证的攻击者可以通过在malicious video link处插入一个恶意的请求链接从而导致服务器执行预期外的命令。
二、风险等级:
高危
三、影响范围:
AVideo < 12.4
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://github.com/WWBN/AVideo/releases/tag/12.4
2 SLP协议拒绝服务漏洞(CVE-2023-29552)
一、漏洞描述:
服务定位协议(Service Location Protocol,缩写:SLP)是一种服务发现协议,它使计算机或其它设备可以在无需预先设置的情况下在局域网中查找服务资源,Bitsight公开了服务定位协议(SLP)中的一个拒绝服务漏洞,该漏洞可能导致未经身份验证的攻击者在 SLP 服务器上注册任意服务,并使用欺骗性 UDP 流量对目标发起 DoS 攻击。
二、风险等级:
高危
三、影响范围:
所有在不受信任的网络(如直接连接到 Internet 的系统)上运行的SLP实例。
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://customerconnect.vmware.c ... /vmware_vsphere/8_0
3 Git 远程代码执行漏洞(CVE-2023-29007)
一、漏洞描述:
Git 是一个版本控制系统。在 v2.30.8, v2.31.7, v2.32.6, v2.33.7, v2.34.7, v2.35.7, v2.36.5, v2.37.6, v2.38.4, v2.39.2, v2.40.0 及之前版本中,Git 存在一个配置注入漏洞,远程攻击者可以通过使用超过 1024 个字符的子模块 URL 来构造一个恶意的 .gitmodules 文件,利用 config.c::git_config_copy_or_rename_section_in_file () 函数中的一个逻辑错误,当尝试删除与该子模块相关的配置节时,将任意配置注入到用户的 $GIT_DIR/config 中。当攻击者注入指定可执行文件的配置值时(例如 core.pager, core.editor, core.sshCommand 等),这可能导致远程代码执行。
二、风险等级:
高危
三、影响范围:
Git<= v2.30.8
v2.31.7
v2.32.6
v2.33.7
v2.34.7
v2.35.7
v2.36.5
v2.37.6
v2.38.4
v2.39.2
v2.40.0
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://github.com/git/git/releases/tag/v2.40.1
4 VMware Workstation和VMware Fusion 安全漏洞(CVE-2023-20869、CVE-2023-20870)
一、漏洞描述:
VMware Workstation 和 Fusion 包含一个基于堆栈的缓冲区溢出漏洞,该漏洞存在于与虚拟机共享主机蓝牙设备的功能中 。
二、风险等级:
高危
三、影响范围:
VMware Workstation 17.X
VMware Fusion 13.X
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://kb.vmware.com/s/article/91760
|
发表于 2023-4-27 09:44
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
显身卡