免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表安天实验室观点,因此第三方对以下内 容进行分享、传播等行为,以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与安天实验室一律不予承担。
1 Apache Any23 拒绝服务漏洞(CVE-2023-34150)
一、漏洞描述:
Apache Any23
Apache Any23 是一个库、web服务和命令行工具,用来从各种Web文档中提取RDF格式的结构化数据。 它支持多种输入格式 ,包括 RDF/XML、Turtle、Notation 3 等。
在 Apache Any23 中使用 TikaEncodingDetector 可能会导致内存使用过多。攻击者利用此漏洞可以导致合法用户不能够访问正常服务。
二、风险等级:
高危
三、影响范围:
Apache Any23 through 2.7
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://attic.apache.org/projects/any23.html
2 QEMU 安全漏洞(CVE-2023-3255)
一、漏洞描述:
QEMU
QEMU(Quick Emulator)是法国法布里斯-贝拉(Fabrice Bellard)个人开发者的一套模拟处理器软件。该软件具有速度快、 跨平台等特点。
QEMU存在安全漏洞,该漏洞源于错误的退出条件可能会导致无限循环,可能允许触发拒绝服务。
二、风险等级:
高危
三、影响范围:
QEMU: 5.0.0, 5.0.1, 5.1.0, 5.2.0, 6.0.0
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://www.qemu.org/download/
3 Bouncy Castle For Java LDAP注入漏洞(CVE-2023-33201)
一、漏洞描述:
JAVA
Bouncy Castle For Java 在 1.74 版本之前存在LDAP注入漏洞。该漏洞只影响使用 Bouncy Castle 的 LDAP CertStore 来验证 X.509 证书的应用程序。
在证书验证过程中,Bouncy Castle 将证书的 Subject Name 插入 LDAP 搜索过滤器,但没有任何转义, 这导致了 LDAP 注入漏洞。
二、风险等级:
高危
三、影响范围:
Bouncy Castle For Java < 1.74
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://github.com/bcgit/bc-java ... 5e8b94c92fdfe583bcc
4 SourceCodester Shopping Website 代码问题漏洞(CVE-2023-3503)
一、漏洞描述:
SourceCodester Shopping
Website是一个购物网站类型的CMS。SourceCodester Shopping Website 1.0版本存在代码问题漏洞,该漏洞源于文件insert-product.php存在问题,会导致文件不受限制的上传。
二、风险等级:
高危
三、影响范围:
SourceCodester Shopping Website 1.0
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://www.sourcecodester.com/php/13834/shopping-website.html
|
发表于 2023-7-6 09:51