免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表安天实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与安天实验室一律不予承担。
1 Apache Commons Compress 拒绝服务漏洞(CVE-2023-42503)
一、漏洞描述:
Apache Commons Compress 是负责处理压缩的底层库,它能处理的压缩格式非常多,包括ar, cpio, Unix dump, tar, zip, gzip, XZ, Pack200, bzip2, 7z, arj, lzma, snappy, DEFLATE, lz4, Brotli, Zstandard, DEFLATE64和Z格式。第三方可以通过操纵文件修改时间标头来创建格式错误的 TAR 文件,当使用 Apache Commons compress 进行解析时,将通过 CPU 消耗导致拒绝服务问题。
二、风险等级:
高危
三、影响范围:
1.22 <= Apache Commons Compress < 1.24.0
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://vip.tophant.com/patch?ke ... e(CVE-2023-42503)/A
2 Apache Tomcat Connectors (mod_jk) 信息泄露漏洞(CVE-2023-41081)
一、漏洞描述:
Apache Tomcat是一个开源的Java Servlet容器,用于将Java服务器页面(JSP)和Java Servlet部署到Web服务器上,提供了可靠的Java Web应用程序运行环境。Apache Tomcat Connectors 项目是 Tomcat 项目的一部分,提供 Web 服务器插件以将 Web 服务器与 Tomcat 和其他后端连接。
二、风险等级:
高危
三、影响范围:
1.2.0 <= Apache Tomcat Connectors mod_jk Connector <= 1.2.48
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://vip.tophant.com/patch?ke ... 9e(CVE-2023-41081)/
3 Cecil 路径遍历漏洞(CVE-2023-4914)
一、漏洞描述:
Cecil 是一个开源的静态网站生成器,它可以使用 Markdown 或 HTML 文件来创建网站。7.47.1 之前的 Cecil 存在路径遍历。
二、风险等级:
高危
三、影响范围:
Cecil <= 7.47.0
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://github.com/Cecilapp/Cecil/releases
4 JeecgBoot /jmreport/testConnection 任意文件读取漏洞(CVE-2023-41578)
一、漏洞描述:
JeecgBoot 是一款基于代码生成器的低代码开发平台。前后端分离架构 SpringBoot2.x,SpringCloud,Ant Design&Vue,Mybatis-plus,Shiro,JWT,支持微服务。强大的代码生成器让前后端代码一键生成,实现低代码开发。
二、风险等级:
高危
三、影响范围:
JeecgBoot <= 3.5.3
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://github.com/jeecgboot/jeecg-boot
|
发表于 2023-9-15 09:17