免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表安天实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与安天实验室一律不予承担。
1 Pipreqs 代码执行漏洞(CVE-2023-31543)
一、漏洞描述:
pipreqs是一个python第三方库和命令行工具,用于自动生成项目的Python依赖需求文件(requirements.txt)。它可以帮助开发人员快速识别项目中使用的所有外部库和对应的版本,以便共享和管理项目的依赖关系。
攻击者可通过向选定的仓库服务器上传精心制作的PyPI软件包来执行任意代码,从而获取服务器权限。
二、风险等级:
高危
三、影响范围:
0.3.0 <= pipreqs <= 0.4.12
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://pypi.org/project/pipreqs/
2 Apache Airflow Hive Provider 命令注入漏洞(CVE-2023-35797)
一、漏洞描述:
Apache Airflow Hive Provider 是一个使用 SQL 读取、写入和管理分布式存储中的大型数据集的工具包。它提供了一些操作符、钩子、传输和传感器,用于与 Apache Hive 交互。它还提供了一些宏,用于在 Airflow 中使用 Hive 函数。
由于系统对用户输入的内容过滤不充分,导致攻击者可以利用分号进行命令注入,从而执行任意命令获取服务器权限。
二、风险等级:
高危
三、影响范围:
Apache Airflow Hive Provider < 6.1.1
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://airflow.apache.org/docs/ ... e/stable/index.html
3 OnlyOffice Community Server 文件上传漏洞(CVE-2023-34939)
一、漏洞描述:
OnlyOffice是一套全功能的办公套件,它提供了文档处理、电子表格、演示文稿和项目管理等多个工具,旨在满足企业和个人在办公环境中的各种需求。
当ONLYOFFICE Community Server的论坛存在讨论话题时,未经授权的攻击者可上传任意文件并导致任意代码执行,从而获取服务器权限。
二、风险等级:
高危
三、影响范围:
Onlyoffice Community Server<12.5.2
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://github.com/firsov/onlyoffice
4 Sealos RBAC权限配置不当漏洞(CVE-2023-33190)
一、漏洞描述:
Sealos是一个开源的Kubernetes集群部署工具,它旨在简化和自动化Kubernetes集群的安装和管理过程。通过使用Sealos,用户可以快速、可靠地部署和配置一个符合生产标准的Kubernetes集群。
由于RBAC(基于角色的访问控制)权限配置不当,导致攻击者获得集群控制权限,从而控制使用Sealos部署的整个集群。
二、风险等级:
高危
三、影响范围:
sealos<4.2.1-rc4
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://github.com/labring/sealos/tags
|