免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表安天实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与安天实验室一律不予承担。
1 TOTOLINK A3300R 命令注入漏洞(CVE-2023-31729)
一、漏洞描述:
TOTOLINK A3300R 是一款高性能的无线路由器,采用 802.11ac 技术,支持双频合一,提供高速的无线网络连接。
TOTOLINK A3300R 在固件版本为 v17.0.0cu.557 存在命令注入漏洞。未经授权的攻击者可以利用反引号拼接,远程执行恶意命令。
二、风险等级:
高危
三、影响范围:
TOTOLINK A3300R 固件版本 v17.0.0cu.557
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://www.totolink.cn/home/men ... mp;id=84&ids=36
2 Cisco Small Business Series Switches 堆栈缓冲区溢出漏洞(CVE-2023-20159)
一、漏洞描述:
Cisco Small Business Series Switches 是一系列面向小型企业的高性能网络交换机产品。
Cisco S系列交换机Web用户界面中存在一个漏洞,使得未经身份验证的远程攻击者能够执行任意代码。
二、风险等级:
高危
三、影响范围:
250 Series Smart Switches
350 Series Managed Switches
350X Series Stackable Managed Switches
550X Series Stackable Managed Switches
Business 250 Series Smart Switches
Business 350 Series Managed Switches
Small Business 200 Series Smart Switches
Small Business 300 Series Managed Switches
Small Business 500 Series Stackable Managed Switches
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://sec.cloudapps.cisco.com/ ... -web-multi-S9g4Nkgv
3 用友NC反序列化远程代码执行漏洞
一、漏洞描述:
用友NC是一种企业级ERP软件,提供全面的财务、采购、库存、销售、生产等管理模块,以及人力资源与薪资、客户关系管理等辅助功能。用友NC可支持多个行业的企业,如制造业、零售业、服务业等。
受影响的版本存在反序列化漏洞,未经身份验证的远程攻击者通过构造反序列化数据,可在目标系统上实现执行任意代码。
二、风险等级:
高危
三、影响范围:
用友 NC <= 6.5
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://security.yonyou.com/#/pa ... a149a86cfea763c8b78
4 Linux Kernel 权限提升漏洞(CVE-2023-32233)
一、漏洞描述:
Linux kernel是美国Linux基金会的开源操作系统Linux所使用的内核。
Linux内核某些受影响版本中,由于匿名集处理不当,当处理批处理请求时Netfilter nf_tables (net/netfilter/nf_tables_api.c)中存在use-after-free漏洞,可利用该漏洞对内核内存执行任意读写操作,成功利用该漏洞的本地用户可获得root权限或导致系统崩溃。
二、风险等级:
高危
三、影响范围:
v5.1-rc1 <= Linux Kernel 版本<= 6.3.1
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://kernel.org/
|
发表于 2023-5-19 09:23