免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表安天实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与安天实验室一律不予承担。
1 智能S85F管理平台文件上传漏洞(CVE-2023-4739)
一、漏洞描述:
北京百卓网络科技有限公司是一家致力于构建下一代安全互联网的高科技公司。百卓智能S85F updateos.php文件存在上传漏洞,攻击者可以通过该漏洞上传任意文件。
二、风险等级:
高危
三、影响范围:
智能S85F 所有版本
四、修复建议:
1、确保上传文件的目录仅具有必要的写入权限,并且不能执行上传文件。限制上传目录的访问权限,以防止攻击者上传恶意文件。
2、文件名安全处理:验证和规范化用户提供的文件名,以防止特殊字符或路径注入攻击。最好将上传的文件重命名为随机生成的唯一名称,而不直接使用用户提供的文件名。
2 百卓智能S45F多业务安全网关智能管理平台前端 SQL注入漏洞(CVE-2023-4745)
一、漏洞描述:
北京百卓网络科技有限公司是一家致力于构建下一代安全互联网的高科技公司。百卓智能S45F多业务安全网关智能管理平台存在SQL注入漏洞。攻击者可以利用这个漏洞访问敏感的数据库信息、获取服务器权限和操纵服务器文件。
二、风险等级:
高危
三、影响范围:
百卓智能 S45F
四、修复建议:
1、对于用户输入,进行严格的验证和过滤。验证输入是否符合预期的格式、长度和类型,并剔除可能包含恶意代码的特殊字符。
2、确保数据库用户只具有执行必要操作的最低权限。限制对敏感数据和敏感表的访问权限,避免将数据库用户配置为具有过高的权限。
3 新天科技智能表集成管理系统SQL注入漏洞(CVE-2023-4712)
一、漏洞描述:
新天科技智能表集成管理系统是由新天科技开发的一套用于管理智能表的系统。SysManage AddUpdateRole. Aspx文件存在SQL注入漏洞。
二、风险等级:
高危
三、影响范围:
新天科技智能表集成管理系统 v5.6.9
四、修复建议:
1、对于用户输入的数据,进行有效的验证和过滤。
2、在数据库的访问控制上,给予应用程序所需的最低权限。
4 Chamilo LMS SQL注入漏洞(CVE-2023-39582)
一、漏洞描述:
Chamilo LMS是一个免费开源的在线学习管理系统,用于创建和管理在线教育和培训课程。Chamilo LMS v.1.11 至 v.1.11.20 中的 SQL 注入漏洞允许远程特权攻击者通过导入会话功能获取敏感信息。
二、风险等级:
高危
三、影响范围:
v.1.11 <= Chamilo LMS <= v.1.11.20
四、修复建议:
1、对于用户输入的数据,进行有效的验证和过滤。
2、在数据库的访问控制上,给予应用程序所需的最低权限。
|