漏洞风险提示（20230714）

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内 容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 Ghostscript代码执行漏洞(CVE-2023-36664)
一、漏洞描述：
       

Ghostscript

        Ghostscript是PostScript语言和PDF文件的开源解释器，许多Linux发行版中默认安装Ghostscript，并被 LibreOffice、GIMP、Inkscape、Scribus、ImageMagick 和 CUPS 打印系统等软件使用。
        该漏洞源于Ghostscript 中的gp_file_name_reduce()函数，由于对管道设备（带有 %pipe% 或 | 管道字符前缀）的权限验证处理不当，处理特制文件时可能导致代码执行。
二、风险等级：
        高危
三、影响范围：
        Ghostscript/GhostPDL版本 < 10.01.2
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://www.ghostscript.com/releases/index.html

---

2 Citrix ShareFile StorageZones Controller远程代码执行漏洞(CVE-2023-24489)
一、漏洞描述：
       

Citrix

        Citrix ShareFile 是基于云的文件共享和协作应用程序。Citrix ShareFile StorageZones Controller 版本5.11.24之前存在漏洞，未经身份验证的远程威胁者可构造恶意请求上传文件，并可能导致远程代码执行。
二、风险等级：
        高危
三、影响范围：
        ShareFile StorageZones Controller版本< 5.11.24
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://www.citrix.com/downloads ... controller-511.html

---

3 Adobe ColdFusion 反序列化漏洞(CVE-2023-29300)
一、漏洞描述：
       
        Adobe ColdFusion是一个商用的快速应用程序开发平台，由JJ Allaire于1995年创立。它运行的CFML（ColdFusion Markup Language）是针对Web应用的一种程序设计语言。
二、风险等级：
        高危
三、影响范围：
        ColdFusion 2018 <= Update 16
        ColdFusion 2021 <= Update 6
        ColdFusion 2023 GA Release (2023.0.0.330468)
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://helpx.adobe.com/security ... sion/apsb23-40.html

---

4 泛微E-Cology XML外部实体注入漏洞(QVD-2023-16177)
一、漏洞描述：
       
        泛微协同管理应用平台E-Cology是一套兼具企业信息门户、知识文档管理、工作流程管理、人力资源管理、客户关系管理、项目管理、财务管理、资产管理、供应链管理、数据中心功能的企业大型协同管理平台。
二、风险等级：
        高危
三、影响范围：
        泛微 EC 9.x 且补丁版本 < 10.58.2
        泛微 EC 8.x 且补丁版本 < 10.58.2
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://www.weaver.com.cn/cs/securityDownload.html#

---