漏洞风险提示（20230705）

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内 容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 IBM i 命令执行漏洞(CVE-2023-30990)
一、漏洞描述：
       
        IBM i是IBM为IBM Power服务器开发的操作系统。它的核心特征是“集成”，代表了IBM i中的“i”，可以通过用更少的资源和更高的可靠性从先进技术中获得更多价值 。
        由于利用DDM体系结构漏洞，IBM i可允许远程攻击者以QUSER身份执行CL命令。
二、风险等级：
        高危
三、影响范围：
        IBM i   7.5
        IBM i   7.4
        IBM i   7.3
        IBM i   7.2
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://www.ibm.com/support/pages/node/7008573

---

2 Django 拒绝服务漏洞(CVE-2023-36053)
一、漏洞描述：
       
        Django是一个开放源代码的Web应用框架，由Python写成。采用了MTV的软件设计模式，即模型，视图和模板。它在开发初期用于管理劳伦斯出版集团旗下的一些以新闻为主的网站。
        EmailValidator和URLValidator可通过大量的电子邮件和URL域名标签进行潜在的ReDos（正则表达式拒绝服务）攻击。
二、风险等级：
        高危
三、影响范围：
        Django 3.2 < 3.2.20
        Django 4.1 < 4.1.10
        Django 4.2 <  4.2.3
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://www.djangoproject.com/we ... /security-releases/

---

3 UniFi OS 配置不当漏洞(CVE-2023-31997)
一、漏洞描述：
       
        UniFi OS 是一个由 Ubiquiti 公司开发的多应用网络操作系统，提供了统一的网络管理界面，支持多种设备和服务。
        UniFi OS 3.1版本在运行UniFi网络的控制台上引入了错误配置，导致本地网络上的用户可访问MongoDB数据库。
二、风险等级：
        高危
三、影响范围：
        UniFi OS 3.1
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://community.ui.com/release ... f-90bc-71f1923ed7a4

---

4 Smartbi登录代码逻辑漏洞(QVD-2023-15129)
一、漏洞描述：
       
        Smartbi是广州思迈特软件有限公司旗下的商业智能BI和数据分析品牌，为企业客户提供一站式商业智能解决方案。Smartbi大数据分析产品融合BI定义的所有阶段，对接各种业务数据库、数据仓库和大数据分析平台，进行加工处理、分析挖掘和可视化展现；满足所有用户的各种数据分析应用需求，如大数据分析、可视化分析、探索式分析、复杂报表、应用分享等等。
        Smartbi身份验证逻辑中存在缺陷，远程攻击者可利用该漏洞绕过身份认证，进一步利用后台接口实现远程代码执行。
二、风险等级：
        高危
三、影响范围：
        Smartbi >= V9
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://www.smartbi.com.cn/patchinfo

---