漏洞风险提示（20230608）

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 Nacos 集群Raft反序列化漏洞(QVD-2023-13065)
一、漏洞描述：
       
        Nacos是一个易于使用的平台，专为动态服务发现和配置以及服务管理而设计。可以帮助轻松构建云原生应用程序和微服务平台。
        在Nacos集群处理部分Jraft请求时，攻击者可以无限制使用hessian进行反序列化利用，最终实现代码执行。
二、风险等级：
        高危
三、影响范围：
        1.4.0<=Nacos<1.4.6
        2.0.0<=Nacos<2.2.3
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://github.com/alibaba/nacos/releases/tag/1.4.6
        https://github.com/alibaba/nacos/releases/tag/2.2.3

---

2 ChuanhuChatGPT 信息泄露(CVE-2023-34094)
一、漏洞描述：
       
        ChuanhuChatGPT是一个为ChatGPT/ChatGLM/LLaMA/StableLM/MOSS等多种LLM提供了一个轻快好用的Web图形界面。
        ChuanhuChatGPT在 20230526 及之前版本中存在信息泄露漏洞。该漏洞允许未经授权访问私人部署的ChuanhuChatGPT项目的config.json文件，攻击者可以利用此漏洞窃取配置文件中的API密钥。
二、风险等级：
        高危
三、影响范围：
        ChuanhuChatGPT <= 20230526
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://github.com/GaiZhenbiao/ChuanhuChatGPT/tags

---

3 IBOS dashboard/approval/del SQL注入漏洞(CVE-2023-3100)
一、漏洞描述：
       
        IBOS是一个全新的企业协同办公管理平台。
        IBOS 在 4.5.5 版本中存在SQL注入漏洞，由于系统并未对用户输入的内容进行过滤，导致经过身份认证的攻击者可以利用 id 参数进行SQL注入，获取数据库中的敏感信息。
二、风险等级：
        高危
三、影响范围：
        IBOS 4.5.5
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        http://www.ibos.com.cn/

---

4 Grafana 拒绝服务漏洞(CVE-2023-2801)
一、漏洞描述：
       
        Grafana 是一个用于监控和可观察性的开源平台。
        使用公共仪表板，用户可以使用混合查询多个不同的数据源。但是，此类查询可能会使 Grafana 实例崩溃。目前唯一使用混合查询的功能是公共仪表板，但也可以通过直接调用查询 API 来导致这种情况。
二、风险等级：
        高危
三、影响范围：
        9.4.x <= Grafana < 9.4.12
        9.5.x <= Grafana < 9.5.3
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://grafana.com/grafana/down ... lfmanaged-box1-cta1

---