找回密码
 注册创意安天

漏洞风险提示(20230809)

[复制链接]
发表于 2023-8-9 09:48 | 显示全部楼层 |阅读模式
免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表安天实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与安天实验室一律不予承担。

1 ECShop 任意文件删除漏洞(CVE-2023-39112)
一、漏洞描述:
ECShop.jpg
        ECShop是一款专业的电商商城系统, 跨平台开源程序,源码支持下载!ECShop可以快速构建PC+微商城+APP+小程序等多终端商城,并支持二次开发定制化商城,且官方不断升级更新无忧。
        ECShop_v4.1.16存在任意文件删除漏洞

二、风险等级:
        高危
三、影响范围:
        ECShop <= 4.1.16
四、修复建议:
        目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
        https://www.ecshop.com/download


2 Cockpit 远程代码执行漏洞(CVE-2023-4195)
一、漏洞描述:

        Cockpit 是一个内容平台的核心项目,它可以让你用简单的方式管理你的网站或应用的内容。它是用PHP开发的,不需要数
据库,只需要一个web服务器就可以运行。
        Cockpit 文件上传功能存在漏洞,用户可以上传特定文件并远程执行代码。

二、风险等级:
        高危
三、影响范围:
        Cockpit  <= 2.6.1
四、修复建议:
        目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
        https://github.com/Cockpit-HQ/Cockpit/releases


3 通达OA SQL注入漏洞(CVE-2023-4165)
一、漏洞描述:
tongda.jpg
        通达OA(Office Anywhere网络智能办公系统)是由北京通达信科科技有限公司自主研发的协同办公自动化软件,是适合各个 行业用户的综合管理办公平台。
通达OA版本11.10之前,/general/system/seal_manage/iweboffice/delete_seal.php路径下的DELETE_STR参数存在SQL注入漏洞,可能导致通过SQL盲注(延时注入)获取数据库中的敏感信息。

二、风险等级:
        高危
三、影响范围:
        通达OA < v11.10
四、修复建议:
        目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
        https://www.tongda2000.com/index.php


4 MobileIron api 权限绕过漏洞(CVE-2023-35078)
一、漏洞描述:
MobileIron.jpg
        MobileIron Sentry和MobileIron Core都是美国思可信(MobileIron)公司的产品。MobileIron Core是一款MobileIron平台 的管理控制台组件。该产品支持为设备、应用程序和内容定义安全和管理策略。CVE-2023-35078 中,攻击者可在无需登录的情况下,构 造恶意请求绕过身份认证调用相关API,造成敏感信息泄漏与代码执行。
二、风险等级:
        高危
三、影响范围:
        Ivanti Endpoint Manager Mobile 11.10
        Ivanti Endpoint Manager Mobile 11.9
        Ivanti Endpoint Manager Mobile 11.8

四、修复建议:
        目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
        https://forums.ivanti.com/s/arti ... lity?language=en_US

您需要登录后才可以回帖 登录 | 注册创意安天

本版积分规则

Archiver|手机版|小黑屋|创意安天 ( 京ICP备09068574,ICP证100468号。 )

GMT+8, 2024-12-28 00:48

Powered by Discuz! X3.5

© 2001-2024 Discuz! Team.

快速回复 返回顶部 返回列表