创意安天

 找回密码
 注册创意安天

漏洞风险提示(20230524)

[复制链接]
发表于 2023-5-24 09:28 | 显示全部楼层 |阅读模式
免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表安天实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与安天实验室一律不予承担。

1 cloudexplorer-lite 越权漏洞(CVE-2023-2844)
一、漏洞描述:
cloudexplorer-lite.jpg
        cloudexplorer-lite是一个基于GitHub的云资源管理器。cloudexplorer-lite v1.1.0之前的版本中,由于缺少授权检查,攻击者可以通过修改URL参数,访问其他用户的云资源。
二、风险等级:
        高危
三、影响范围:
        cloudexplorer-lite < 1.1.0
四、修复建议:
        目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
        https://github.com/CloudExplorer-Dev/CloudExplorer-Lite/releases


2 EyouCMS 跨站请求伪造漏洞(CVE-2023-31708)
一、漏洞描述:
EyouCMS.jpg
        EyouCMS是一个基于PHP的内容管理系统。该漏洞存在于EyouCMS v1.6.2版本中,由于缺少CSRF令牌验证,攻击者可以通过向受害者提供一个包含恶意HTML文件的链接,利用受害者的身份,可以上传任意js/html。
二、风险等级:
        高危
三、影响范围:
        EyouCMS v1.6.2
四、修复建议:
        目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
        https://www.eyoucms.com/


3 Apache Tomcat 拒绝服务漏洞(CVE-2023-28709)
一、漏洞描述:
Apache Tomcat.jpg
        Apache Tomcat是一个开源的Web服务器和Servlet容器。该漏洞是CVE-2023-24998的修复不完全导致的,如果使用了非默认的HTTP连接器设置,使得maxParameterCount参数可以通过查询字符串参数达到,并且提交了一个请求,该请求在查询字符串中恰好提供 了maxParameterCount个参数,那么上传请求部分的限制就可以被绕过,可能导致拒绝服务攻击。
二、风险等级:
        高危
三、影响范围:
        Apache Tomcat 11.0.0-M2 到 11.0.0-M4
        Apache Tomcat 10.1.5 至 10.1.7
        Apache Tomcat 9.0.71 至 9.0.73
        Apache Tomcat 8.5.85 至 8.5.87

四、修复建议:
        目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
        https://lists.apache.org/thread/7wvxonzwb7k9hx9jt3q33cmy7j97jo3j


4 GPAC 越界读取漏洞( CVE-2023-2838)
一、漏洞描述:

        GPAC是一款开源的多媒体框架。
        GPAC 2.2.2之前版本存在缓冲区越界读取漏洞。

二、风险等级:
        高危
三、影响范围:
        2.2.2 < GPAC
四、修复建议:
        目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
        https://github.com/gpac/gpac/com ... 4e586f243b2038779ba

您需要登录后才可以回帖 登录 | 注册创意安天

本版积分规则

小黑屋|手机版|Archiver|创意安天 ( 京ICP备09068574,ICP证100468号。 )

GMT+8, 2024-3-29 00:23

Powered by Discuz! X3.4

© 2001-2023 Discuz! Team.

快速回复 返回顶部 返回列表