漏洞风险提示（20230616）

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 Jenkins 跨站请求伪造漏洞(CVE-2023-35141)
一、漏洞描述：
       
        Jenkins是一款开源CI&CD 软件，用于自动化构建、测试和部署软件。 Jenkins 支持系统包、Docker 或者通过一个独立的Java 程序运行。
        跨站请求伪造漏洞可以在受害者毫不知情的情况下以受害者名义伪造请求发送给受攻击站点，从而在并未授权的情况下执行在权限保护之下的操作。
二、风险等级：
        高危
三、影响范围：
        Jenkins <= 2.399
        Jenkins <= LTS 2.387.3
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://www.jenkins.io/download/

---

2 Apache Struts 2拒绝服务漏洞(CVE-2023-34149)
一、漏洞描述：
       
        Apache Struts是一个免费、开源的MVC框架，用于创建Java Web应用程序。
        由于开发人员Collection 类型字段的 CreateIfNull 设置为 true，未正确检查列表边界而导致OOM（内存耗尽），攻击者从而利用该缺陷攻击造成拒绝服务。
二、风险等级：
        高危
三、影响范围：
        Apache Struts <=2.5.30
        Apache Struts <=6.1.2
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://github.com/apache/struts/releases

---

3 Grav远程代码执行漏洞(CVE-2023-34251)
一、漏洞描述：
       
        Grav是一套可扩展的个人博客、小型内容发布平台和单页产品展示的CMS(内容管理系统)。
        Grav存在远程代码执行漏洞，允许攻击者通过在管理员界面嵌入恶意PHP代码来实现远程代码执行。
二、风险等级：
        高危
三、影响范围：
        Grav<1.7.42
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://github.com/getgrav/grav/ ... GHSA-f9jf-4cp4-4fq5

---

4 Weaver Xtreme Theme 跨站脚本漏洞(CVE-2023-1403)
一、漏洞描述：
       
        Weaver Xtreme主题是一个完全控制网站设计的WordPress主题，有丰富的选项和功能，支持响应式和多种插件。
        由于配置文件显示名称的转义不充分，导致攻击者可以提交特意构造的脚本代码输出到浏览器被执行。
二、风险等级：
        高危
三、影响范围：
        Weaver Xtreme <= 5.0.7
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://wordpress.org/themes/weaver-xtreme/

---