免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表安天实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与安天实验室一律不予承担。
1 VMware Aria Operations for Networks命令注入漏洞(CVE-2023-20887)
一、漏洞描述:
VMware Aria Operations for Networks是一款网络可视性和分析工具,可以帮助管理员优化网络性能或管理和扩展各种VMware和Kubernetes部署。
对 VMware Aria Operations for Networks 具有网络访问权限的攻击者可以通过命令注入执行远程代码。
二、风险等级:
高危
三、影响范围:
VMware aria operations networks 6.x
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://kb.vmware.com/s/article/92684
2 XXL-RPC 反序列化漏洞(CVE-2023-33496)
一、漏洞描述:
XXL-RPC 是一个分布式服务框架,提供稳定高性能的RPC远程服务调用功能。拥有"高性能、分布式、注册中心、负载均衡、服务治理"等特性。
由于XXL-RPC没有对用户输入的内容进行验证,未经授权的攻击者可以通过发送特制构造的序列化字符串方式进行远程代码执行。
二、风险等级:
高危
三、影响范围:
XXL-RPC <= v1.7.0
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://github.com/xuxueli/xxl-rpc
3 gradio 任意文件读取漏洞(CVE-2023-34239)
一、漏洞描述:
Gradio是一个快速构建机器学习Web展示页面的开源python库。
由于缺少路径过滤,Gradio 无法正确限制用户对文件的访问权限。此外,Gradio 没有正确限制代理的 URL。
二、风险等级:
高危
三、影响范围:
Gradio <= 3.33.1
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://pypi.org/project/gradio/
4 IBM Sterling Partner Engagement Manager 跨站脚本漏洞(CVE-2023-23481)
一、漏洞描述:
IBM Sterling Partner Engagement Manager 是一个收集合作伙伴数据的记录系统。
该漏洞允许用户在 Web UI 中嵌入任意 JavaScript 代码,没有对用户提交的变量中的代码进行过滤或转换,从而导致跨站脚本攻击。
二、风险等级:
高危
三、影响范围:
IBM Sterling Partner Engagement Manager 6.2.0
IBM Sterling Partner Engagement Manager 6.1.2
IBM Sterling Partner Engagement Manager 6.2.1
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://www.ibm.com/support/pages/node/7001561
|
发表于 2023-6-9 09:23