漏洞风险提示（20230629）

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 plantuml 服务器端请求伪造漏洞(CVE-2023-3432)
一、漏洞描述：
       
        PlantUML是一个开源项目，它可以根据文本描述快速生成UML图和其他类型的图表。
        攻击者利用该漏洞可以对内网服务器、办公机进行端口扫描、资产扫描、漏洞扫描，发现服务器内部的可用端口和漏洞等。
二、风险等级：
        高危
三、影响范围：
        plantuml < 1.2023.9
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://github.com/plantuml/plantuml/releases

---

2 IBM Cloud Pak for Security (CP4S)信息泄露漏洞(CVE-2023-30993)
一、漏洞描述：
       
        IBM Cloud Pak for Security (CP4S) 是一个开放的安全平台，可以在混合多云环境中更好地理解威胁、减轻风险并加快响应。
        IBM Cloud Pak for Security (CP4S) 允许攻击者为一个用户提供有效的API密钥，从而访问另一个用户账户中的数据。
二、风险等级：
        高危
三、影响范围：
        Cloud Pak for Security (CP4S) 1.9.0.0 - 1.9.2.0
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://www.ibm.com/docs/en/clou ... -cloud-pak-security

---

3 Google Chrome V8类型混淆漏洞(CVE-2023-3420)
一、漏洞描述：
       
        GV8是由Google开源的一个高性能JavaScript引擎，被广泛应用于各种JavaScript执行环境，如Chrome浏览器、Node.js等。
        该漏洞为Chrome V8 JavaScript引擎中的类型混淆漏洞，此类漏洞会读取或写入超出缓冲区边界的内存，导致浏览器崩溃或任意代码执行。
二、风险等级：
        高危
三、影响范围：
        Chrome for Windows<114.0.5735.198
        Chrome for Windows<114.0.5735.199
        Chrome for Mac and Linux<114.0.5735.198
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
         https://www.google.cn/chrome/

---

4 VMware vCenter Server越界写入漏洞(CVE-2023-20894)
一、漏洞描述：
       
        vCenter Server是VMware vSphere虚拟化架构的核心管理组件，为ESXI主机和虚拟机提供管理服务，通过vCenter Server可以集中管理多台ESXI主机和虚拟机。
        vCenter Server在DCERPC协议的实现中存在越界写入漏洞，对vCenter Server具有网络访问权的攻击者可以通过发送特制数据包来触发越界写入，从而导致内存损坏。
二、风险等级：
        高危
三、影响范围：
        VMware vCenter Server 8.0版本：< 8.0 U1b
        VMware vCenter Server 7.0版本：< 7.0 U3m
        VMware Cloud Foundation (vCenter Server) 5.x版本：< 8.0 U1b
        VMware Cloud Foundation (vCenter Server) 4.x版本：< 7.0 U3m
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://www.vmware.com/security/advisories/VMSA-2023-0014.html

---