免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表安天实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与安天实验室一律不予承担。
1 Google Chrome OS Audio Server 越界写入漏洞(CVE-2023-2457)
一、漏洞描述:
Google Chrome OS 是一个基于 Linux 的操作系统,主要用于运行 Chrome 浏览器的设备。 Chrome OS Audio Server 组件存在越界写入漏洞,该漏洞允许远程攻击者通过特制的音频文件,利用堆损坏执行任意代码。
二、风险等级:
高危
三、影响范围:
Google ChromeOS < 113.0.5672.114
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://chromereleases.googleblo ... e-for-chromeos.html
2 VMware Aria Operations 反序列化漏洞(CVE-2023-20878)
一、漏洞描述:
VMware Aria Operations 是一个统一的、基于人工智能的自动化 IT 运维管理平台,适用于私有云、混合云和多云环境。 它支持 VMware Cloud on AWS、Amazon Web Services (AWS)、Google Cloud Platform、Microsoft Azure 和基于 vSphere 的本地私有云。
VMware Aria Operations 在多个版本中存在反序列化漏洞,经过身份认证的攻击者可以由此执行任意命令。
二、风险等级:
高危
三、影响范围:
VMware Aria Operations 8.10
VMware Aria Operations 8.6.x
VMware Cloud Foundation 4.x
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://www.vmware.com/security/advisories/VMSA-2023-0009.html
3 Foxit PDF Reader/Editor exportXFAData 远程代码执行漏洞(CVE-2023-27363)
一、漏洞描述:
Foxit PDF Reader 是一个流行的 PDF 阅读软件,与 Adobe 的 PDF 软件相比,具有更快的速度和更小的体积。该软件存在一个远程代码执行(RCE)漏洞,由于在 exportXFAData 方法中暴露了一个可以写入任意文件的 JavaScript 接口,导致攻击者可以在受害者的系统中执行任意代码。
二、风险等级:
高危
三、影响范围:
Foxit PDF Reader <= 12.1.1.15289
Foxit PDF Editor 12.x <= 12.1.1.15289
Foxit PDF Editor 11.x <= 11.2.5.53785
Foxit PDF Editor <= 10.1.11.37866
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://www.foxit.com/downloads/
4 IBM API Connect 未授权访问漏洞(CVE-2023-28522)
一、漏洞描述:
IBM API Connect V10 是一个用于创建、运行、管理和保护 API 的平台。该漏洞允许一个已认证的用户执行他们本不应该有权限的操作。
二、风险等级:
高危
三、影响范围:
IBMIBM API Connect 10.0.0.0
IBM API Connect 10.0
IBM API Connect 10.0.1.4
IBM API Connect 10.0.5.1
IBM API Connect 10.0.1.9 Planning Analytics 2.0
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://www.ibm.com/support/pages/node/6965612
|