找回密码
 注册创意安天

漏洞风险提示(20230912)

[复制链接]
发表于 2023-9-12 09:20 | 显示全部楼层 |阅读模式
免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表安天实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与安天实验室一律不予承担。

1 JeecgBoot /jmreport/show SQL注入漏洞(CVE-2023-42268)
一、漏洞描述:
        jeecg.jpg
        JeecgBoot 是一款基于代码生成器的低代码开发平台。前后端分离架构 SpringBoot2.x,SpringCloud,Ant Design&Vue,Mybatis-plus,Shiro,JWT,支持微服务。强大的代码生成器让前后端代码一键生成,实现低代码开发。JeecgBoot 在 3.5.3 及之前版本中存在SQL注入漏洞。未授权的攻击者可以构造特制的请求进行SQL注入,从而获取数据库中的敏感信息。
二、风险等级:
        高危
三、影响范围:
        JeecgBoot <= 3.5.3
四、修复建议:
        目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
        https://github.com/jeecgboot/jeecg-boot/releases


2 Hexo 任意文件读取漏洞(CVE-2023-39584)
一、漏洞描述:
        Hexo.jpg
        Hexo是一款基于Node.js的静态网页生成工具,可以用Markdown或其他标记语言编写文章,并利用各种主题生成博客网站。Hexo 在 v7.0.0(RC2) 之前版本中存在任意文件读取漏洞。在Windows系统下可以利用"..\"替代"../",从而绕过安全检查进行任意文件读取的操作。
二、风险等级:
        高危
三、影响范围:
        Hexo <= v7.0.0(RC2)
四、修复建议:
        目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
        https://github.com/hexojs/hexo/releases/tag/v7.0.0-rc2


3 Cisco ASA & FTD VPN未授权访问漏洞(CVE-2023-20269)
一、漏洞描述:
        Cisco.jpg
        该漏洞是由于远程访问VPN功能与HTTPS管理和站点到站点VPN功能之间的身份验证、授权和计费(AAA)分离不当造成的,未经身份验证的远程威胁者可利用该漏洞进行暴力破解攻击,以识别有效的用户名和密码组合(有效凭据),经过身份验证的远程威胁者可与未经授权的用户建立无客户端 SSL VPN 会话。
二、风险等级:
        高危
三、影响范围:
        Cisco ASA<= 9.16
四、修复建议:
        目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
        https://sec.cloudapps.cisco.com/ ... pn-auth-8LyfCkeC#fs


4 Cisco BroadWorks & Xtended身份验证绕过漏洞(CVE-2023-20238)
一、漏洞描述:
        Cisco.jpg
        Cisco BroadWorks 应用交付平台和Cisco BroadWorks Xtended服务平台的单点登录(SSO)实施中存在漏洞,该漏洞源于验证 SSO 令牌的方法。拥有受影响的Cisco BroadWorks 系统关联的有效用户 ID的远程威胁者可以通过使用伪造的凭据对应用程序进行身份验证,成功利用该漏洞的威胁者能够以伪造帐户的权限执行命令、进行电话欺诈等,若为管理员帐户还可以查看敏感信息、更改用户设置等。
二、风险等级:
        高危
三、影响范围:
        Cisco BroadWorks 应用交付平台和Cisco BroadWorks Xtended服务平台版本<=22.0
        Cisco BroadWorks 应用交付平台和Cisco BroadWorks Xtended服务平台23.0版本 < AP.platform.23.0.1075.ap385341
        Cisco BroadWorks 应用交付平台和Cisco BroadWorks Xtended服务平台Release Independent (RI)版本< 2023.06_1.333 或 2023.07_1.332

四、修复建议:
        目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
        https://www.cisco.com/c/en/us/support/index.html

您需要登录后才可以回帖 登录 | 注册创意安天

本版积分规则

Archiver|手机版|小黑屋|创意安天 ( 京ICP备09068574,ICP证100468号。 )

GMT+8, 2024-12-27 10:51

Powered by Discuz! X3.5

© 2001-2024 Discuz! Team.

快速回复 返回顶部 返回列表