漏洞风险提示（20230620）

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 Solon 反序列化漏洞(CVE-2023-35839)
一、漏洞描述：
       
        Solon是一个轻量级的Java基础开发框架，它从零开始构建，有标准规范与开放生态。Solon支持多种插件机制，如：AOP、RPC、Websocket等。
        攻击者可以构造恶意代码，服务器收到该恶意代码后解析出的命令可能会造成信息泄露或者被攻击者直接获取主机服务器权限等安全风险。
二、风险等级：
        高危
三、影响范围：
        Solon < 2.3.3
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://github.com/noear/solon/releases

---

2 Microsoft Edge 特权提升漏洞(CVE-2023-33143)
一、漏洞描述：
       
        Microsoft Edge (Chromium-based)是一款基于Chromium开发的浏览器，它提供了更快的速度、更好的性能和更多的功能，同时还具有更好的兼容性和安全性。
        攻击者必须诱使用户打开经特殊设计的文件，这可能导致浏览器沙箱逃逸从而执行代码，也可能导致拒绝服务(DOS)或浏览器崩溃。
二、风险等级：
        高危
三、影响范围：
        Microsoft Edge 114.0.1823.37
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://msrc.microsoft.com/updat ... lity/CVE-2023-33143

---

3 Web Directory Free SQL注入漏洞(CVE-2023-2201)
一、漏洞描述：
        web directory free是一种免费的网站目录服务，可以为网站提供链接和信誉。
        由于对用户提供的参数的转义不足以及对现有SQL查询准备不足，导致可用于从数据库中提取敏感信息。
二、风险等级：
        高危
三、影响范围：
        Web Directory Free <= 1.6.7
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://wordpress.org/plugins/web-directory-free/

---

4 Broadcom BCM47xx SDK EMF 代码执行漏洞(CVE-2023-31070)
一、漏洞描述：
        Broadcom BCM47xx SDK是Broadcom公司的一款软件开发工具包，该工具包包含了Broadcom网络交换机API和驱动程序的源代码，可用于快速开发和部署。
        由于没有检查数组边界，攻击者可以伪造数据触发越界写入，在内核执行任意代码。
二、风险等级：
        高危
三、影响范围：
        Broadcom BCM47xx SDK
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://bugprove.com/knowledge-h ... ut-of-bounds-write/

---