免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表安天实验室观点,因此第三方对以下内 容进行分享、传播等行为,以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与安天实验室一律不予承担。
1 TamronOS IPTV系统 命令注入漏洞(CVE-2023-3606)
一、漏洞描述:
TamronOS IPTV/VOD系统是一套基于Linux内核开发的宽带运营商、酒店、学校直播点播一体解决方案。系统提供了多种客户端(Android机顶盒、电视、PC版点播、手机版点播)方便用户通过不同的设备接入。
TamronOS IPTV 存在系统命令注入漏洞。
二、风险等级:
高危
三、影响范围:
TamronOS < 2019
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://github.com/d4n-sec/cve/blob/main/TamronOS%20IPTV.md
2 Apple WebKit 远程代码执行漏洞(CVE-2023-37450)
一、漏洞描述:
Apple WebKit 是由苹果公司开发的一款开源浏览器引擎,它是 Safari 浏览器的核心组件,也被 Google、Adobe 等公司使用在其产品中。
WebKit 引擎采用 C++ 语言编写,支持 HTML、CSS、JavaScript 等 Web 标准,并提供了高性能的渲染和布局引擎,能够快速准确地呈现网页内容。
二、风险等级:
高危
三、影响范围:
iOS < 16.5.1 (a)
iPadOS < 16.5.1 (a)
macOS Ventura < 13.4.1 (a)
Safari < 16.5.2
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://support.apple.com/en-us/HT213823
3 Apache Ambari MetricsSource SpringEL注入漏洞(CVE-2022-45855)
一、漏洞描述:
Apache Ambari是一种基于Web的工具,支持Apache Hadoop集群的供应、管理和监控。它提供了一个直观、易用的Hadoop管理Web界面,以及一套RESTful API。
Apache Ambari 在 2.7.0-2.7.6 版本中存在 SpringEL 注入漏洞。在 metrics source 功能点中允许经过身份验证的恶意用户远程执行任意代码,从而控制服务器。
二、风险等级:
高危
三、影响范围:
2.7.0 <= Apache Ambari <= 2.7.6
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://github.com/apache/ambari/tags
4 VMware Aria Operations for Logs反序列化漏洞(CVE-2023-20864)
一、漏洞描述:
VMware Aria Operations for Logs(以前称为 vRealize Log Insight)是一款日志分析工具,可提供高度可扩展的异构日志管理功能,具备直观且可操作的仪表板、精细的分析功能和广泛的第三方扩展功能。
VMware Aria Operations for Logs中存在不安全的反序列化漏洞,该漏洞源于InternalClusterController类中的多个方法中对用户数据的验证不当,未经身份验证的远程威胁者可以通过向目标服务器发送恶意设计的请求来利用该漏洞,成功利用可能导致以 root 身份运行任意代码。
二、风险等级:
高危
三、影响范围:
VMware Aria Operations for Logs (Operations for Logs) 8.10.2 < 8.12
VMware Cloud Foundation(VMware Aria Operations for Logs)4.x
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://www.vmware.com/security/advisories/VMSA-2023-0007.html
|
发表于 2023-7-12 09:36
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
显身卡