漏洞风险提示（20230720）

发表于 2023-7-20 09:49

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

1 Spring Security鉴权规则漏洞(CVE-2023-34035)
一、漏洞描述：
spring security.JPG

Spring Security 是一套为基于Spring的应用程序提供说明性安全保护的安全框架。在 Spring Security 受影响的版本中，由于 Spring Security 的授权规则会应用于整个应用程序上下文，当应用程序中包含多个servlet，并且其中一个为DispatcherServlet时，使用 requestMatchers(String) 方法错误地将非 Spring MVC 的端点添加到授权规则中，攻击者可以发送请求到这个的端点，从而绕过授权规则获得访问权限。
二、风险等级：
高危
三、影响范围：
6.0.0 <= Spring Security <= 6.0.5
6.1.0 <= Spring Security <= 6.1.2
5.8.0 <= Spring Security <= 5.8.5
四、修复建议：
目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
https://docs.spring.io/spring-se ... pring-security.html

2 Microsoft Edge 远程执行代码漏洞(CVE-2023-36887)
一、漏洞描述：
Microsoft Edge.jpg

Microsoft Edge 是微软推出的基于 Google Chromium 的浏览器。Microsoft Edge 受影响版本中，攻击者可通过诱导受害者打开恶意文件，在目标系统上执行任意代码。
二、风险等级：
高危
三、影响范围：
Microsoft Edge < 114.0.1823.82
四、修复建议：
目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
https://msrc.microsoft.com/updat ... lity/CVE-2023-36887

3 .NET diagnostic server 远程代码执行漏洞(CVE-2023-33127)
一、漏洞描述：

.NET 是一个由微软开发的软件框架，diagnostic server 是 .NET 用于收集和报告应用程序诊断数据的组件。.NET 6.0.19/7.0.8 及之前版本中由于 diagnostic server 组件存在权限升级漏洞，任何运行在 .NET 中的应用程序都会受到远程代码执行的影响。
二、风险等级：
高危
三、影响范围：
6.0.0 <= .NET 6.0 < 6.0.20
7.0.0 <= .NET 7.0 < 6.0.09
四、修复建议：
目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
https://dotnet.microsoft.com/download/dotnet/6.0
https://dotnet.microsoft.com/download/dotnet/7.0

4 Office 和 Windows HTML 远程代码执行漏洞(CVE-2023-36884)
一、漏洞描述：
Microsoft Office.jpg

Windows 是微软公司开发的操作系统，Office 是微软公司的办公套件，包括常用的办公应用程序如 Word、Excel、PowerPoint 等。受影响的 Windows 和 Office 产品中由于未正确处理跨协议文件导航，当用户打开攻击者恶意构造的 Microsoft Office 文档时，攻击者可在用户主机远程执行任意代码。
二、风险等级：
高危
三、影响范围：
2013 Service Pack 1 <= Microsoft Word <= 2016
Microsoft Office LTSC = 2021
2008 <= Windows Server <= 2022
1607 <= Windows 10 <= 22H2
21H2 <= Windows 11<= 22H2
Microsoft Office = 2019
四、修复建议：
目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
https://msrc.microsoft.com/updat ... lity/CVE-2023-36884

		自动登录	找回密码
密码			注册创意安天