找回密码
 注册创意安天

漏洞风险提示(20230720)

[复制链接]
发表于 2023-7-20 09:49 | 显示全部楼层 |阅读模式
免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表安天实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与安天实验室一律不予承担。

1 Spring Security鉴权规则漏洞(CVE-2023-34035)
一、漏洞描述:
spring security.JPG
        Spring Security 是一套为基于Spring的应用程序提供说明性安全保护的安全框架。在 Spring Security 受影响的版本中,由于 Spring Security 的授权规则会应用于整个应用程序上下文,当应用程序中包含多个servlet,并且其中一个为DispatcherServlet时 ,使用 requestMatchers(String) 方法错误地将非 Spring MVC 的端点添加到授权规则中,攻击者可以发送请求到这个的端点,从而绕过授权规则获得访问权限。
二、风险等级:
        高危
三、影响范围:
        6.0.0 <= Spring Security <= 6.0.5
        6.1.0 <= Spring Security <= 6.1.2
        5.8.0 <= Spring Security <= 5.8.5

四、修复建议:
        目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
        https://docs.spring.io/spring-se ... pring-security.html


2 Microsoft Edge 远程执行代码漏洞(CVE-2023-36887)
一、漏洞描述:
Microsoft Edge.jpg
        Microsoft Edge 是微软推出的基于 Google Chromium 的浏览器。Microsoft Edge 受影响版本中,攻击者可通过诱导受害者打开恶意文件,在目标系统上执行任意代码。
二、风险等级:
        高危
三、影响范围:
        Microsoft Edge < 114.0.1823.82
四、修复建议:
        目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
        https://msrc.microsoft.com/updat ... lity/CVE-2023-36887


3 .NET diagnostic server 远程代码执行漏洞(CVE-2023-33127)
一、漏洞描述:
Net.jpg
        .NET 是一个由微软开发的软件框架,diagnostic server 是 .NET 用于收集和报告应用程序诊断数据的组件。.NET 6.0.19/7.0.8 及之前版本中由于 diagnostic server 组件存在权限升级漏洞,任何运行在 .NET 中的应用程序都会受到远程代码执行的影响。
二、风险等级:
        高危
三、影响范围:
        6.0.0 <= .NET 6.0 < 6.0.20
        7.0.0 <= .NET 7.0 < 6.0.09

四、修复建议:
        目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
        https://dotnet.microsoft.com/download/dotnet/6.0
        https://dotnet.microsoft.com/download/dotnet/7.0


4 Office 和 Windows HTML 远程代码执行漏洞(CVE-2023-36884)
一、漏洞描述:
Microsoft Office.jpg
        Windows 是微软公司开发的操作系统,Office 是微软公司的办公套件,包括常用的办公应用程序如 Word、Excel、PowerPoint 等。受影响的 Windows 和 Office 产品中由于未正确处理跨协议文件导航,当用户打开攻击者恶意构造的 Microsoft Office 文档时,攻击者可在用户主机远程执行任意代码。
二、风险等级:
        高危
三、影响范围:
        2013 Service Pack 1 <= Microsoft Word <= 2016
        Microsoft Office LTSC = 2021
        2008 <= Windows Server <= 2022
        1607 <= Windows 10 <= 22H2
        21H2 <= Windows 11<= 22H2
        Microsoft Office = 2019

四、修复建议:
        目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
        https://msrc.microsoft.com/updat ... lity/CVE-2023-36884

您需要登录后才可以回帖 登录 | 注册创意安天

本版积分规则

Archiver|手机版|小黑屋|创意安天 ( 京ICP备09068574,ICP证100468号。 )

GMT+8, 2024-12-28 00:06

Powered by Discuz! X3.5

© 2001-2024 Discuz! Team.

快速回复 返回顶部 返回列表