漏洞风险提示（20230515）

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 Weaver E-Office 命令注入漏洞(CVE-2023-2647)
一、漏洞描述：

        泛微E-Office是一个专业的协同OA办公软件，让中小型组织可以高效、便捷、安全地管理和协调各项业务。
        泛微E-Office 在 9.5 版本中存在命令注入漏洞，经过身份认证的攻击者可以利用文件上传等多个系统功能在服务器执行任意命令。
二、风险等级：
        高危
三、影响范围：
        Wevar E-Office 9.5
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://service.e-office.cn/download

---

2 PostgreSQL 代码执行漏洞(CVE-2023-2454 )
一、漏洞描述：

        PostgreSQL 是一个免费的对象-关系数据库服务器(ORDBMS)，在灵活的BSD许可证下发行。 PostgreSQL 开发者把它念作 post-gress-Q-L。 PostgreSQL 的 Slogan 是 “世界上最先进的开源关系型数据库”。它具有强大的功能、稳定的性能、高度的可扩展性和丰富的数据类型。
        具有数据库 CREATE 权限的攻击者能够执行任意代码。
二、风险等级：
        高危
三、影响范围：
        PostgreSQL < 15.3
        PostgreSQL < 14.8
        PostgreSQL < 13.11
        PostgreSQL < 12.15
        PostgreSQL < 11.20
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://www.postgresql.org/download/

---

3 IBM Planning Analytics 存储型跨站脚本漏洞(CVE-2023-28520)
一、漏洞描述：

        IBM Planning Analytics Local 2.0 是一个用于企业规划、预测和分析的平台。该漏洞可能允许用户在 Web UI 中嵌入任意的 JavaScript 代码，从而改变预期的功能，导致在受信任的会话中泄露凭证。
二、风险等级：
        高危
三、影响范围：
        IBM Planning Analytics 2.0
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://www.ibm.com/support/pages/node/6988391

---

4 Mozilla Firefox代码执行漏洞(CVE-2023-32215)
一、漏洞描述：

        Mozilla Firefox是美国Mozilla基金会的一款开源Web浏览器。
        Mozilla Firefox存在内存安全漏洞。攻击者利用该漏洞可以执行任意代码。
二、风险等级：
        高危
三、影响范围：
        Firefox 112
        Firefox ESR 102.10
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://www.firefox.com.cn/?utm_ ... _source=mozilla.org

---