漏洞风险提示（20230615）

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 Nuxt远程代码执行漏洞 (CVE-2023-3224)
一、漏洞描述：
       
        Nuxt.js是一款基于Vue.js、Node.js、Webpack和Babel.js的开源Web应用程序框架。
        Nuxt 中存在代码注入漏洞，当服务端以开发模式启动时，攻击者可利用该漏洞注入恶意代码并获取目标服务器权限。
二、风险等级：
        高危
三、影响范围：
        Nuxt == 3.4.0
        Nuxt == 3.4.1
        Nuxt == 3.4.2
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://github.com/nuxt/nuxt/releases

---

2 Microsoft Exchange Server 远程代码执行漏洞(CVE-2023-28310)
一、漏洞描述：
       
        Microsoft Exchange Server是美国微软(Microsoft)公司的一套电子邮件服务程序，它提供邮件存取、储存、转发，语音邮件，邮件过滤筛选等功能。
        Microsoft Exchange Server 存在远程代码执行漏洞。攻击者经过身份验证并且与 Exchange Server 位于同一个网络中，可以通过 PowerShell 远程处理会话实现远程代码执行。
二、风险等级：
        高危
三、影响范围：
        Microsoft Exchange Server 2019 Cumulative Update 13
        Microsoft Exchange Server 2019 Cumulative Update 12
        Microsoft Exchange Server 2016 Cumulative Update 23
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://msrc.microsoft.com/updat ... lity/CVE-2023-28310

---

3 Microsoft SharePoint Server 特权限提升漏洞(CVE-2023-29357)
一、漏洞描述：
       
        Microsoft SharePoint Server 是一种用于共享、协作和管理信息的平台。它可以让你快速、可靠、安全地与人员、应用程序和内容进行交互。
        Microsoft SharePoint Server 存在特权提升漏洞。未经授权的攻击者向 SharePoint Server 发送伪造的JWT认证令牌，从而获得服务器上认证用户的权限。
二、风险等级：
        高危
三、影响范围：
        Microsoft SharePoint Server 2019
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://msrc.microsoft.com/updat ... lity/CVE-2023-29357

---

4 Openfire 身份认证绕过漏洞(CVE-2023-32315)
一、漏洞描述：
       
        Openfire是免费的、开源的、基于可拓展通讯和表示协议(XMPP)、采用Java编程语言开发的实时协作服务器。
        由于Openfire的路径名限制不恰当，未经身份认证的攻击者可以构造恶意请求绕过身份认证登录管理界面。
二、风险等级：
        高危
三、影响范围：
        3.10.0 <= Openfire < 4.6.8
        4.7.0 <= Openfire 4.7.x < 4.7.5
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://github.com/igniterealtime/Openfire/releases

---