漏洞风险提示（20230919）

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 OpenRefine 任意文件读取漏洞(CVE-2023-41886)
一、漏洞描述：
       
        OpenRefine 是一个基于 Java 的强大工具，可让您加载数据、理解数据、清理数据、协调数据，并使用来自 Web 的数据对其进行扩充。OpenRefine 允许任何未经身份验证的用户读取服务器上的文件
二、风险等级：
        高危
三、影响范围：
        OpenRefine <= 3.7.4
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://github.com/OpenRefine/OpenRefine/releases

---

2 JumpServer Session 未授权访问漏洞(CVE-2023-42442)
一、漏洞描述：
       
        JumpServer是一款符合4A规范的开源堡垒机，帮助企业以更安全的方式管控和登录各种类型的资产，实现事前授权、事中监察、事后审计，满足等保合规要求。JumpServer 在 3.0.0-3.6.3 版本存在未授权访问漏洞。由于系统权限配置存在不合理，导致未授权攻击者可以直接访问 /api/v1/terminal/sessions/ 相关路由。
二、风险等级：
        高危
三、影响范围：
        3.0.0 <= JumpServer <= 3.6.3
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://github.com/jumpserver/jumpserver/releases

---

3 Zenario CMS跨站脚本漏洞(CVE-2023-39578)
一、漏洞描述：
       
        Zenario CMS是Zenario开源的一个应用软件，提供一个基于Web的内容管理系统。Zenario CMS 9.4版本存在跨站脚本漏洞，攻击者可利用该漏洞通过向菜单导航文本字段注入特制的载荷执行任意Web脚本或HTML。
二、风险等级：
        高危
三、影响范围：
        Zenario CMS 9.4
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://github.com/anh91/Zenario-xss/issues/1

---

4 pf4j路径遍历漏洞(CVE-2023-40826)
一、漏洞描述：
       
        pf4j是PF4J开源的一个Java插件框架。pf4j 3.9.0及之前版本存在路径遍历漏洞，远程攻击者可利用该漏洞获取敏感信息并通过zippluginPath参数执行任意代码。
二、风险等级：
        高危
三、影响范围：
        pf4j <= 3.9.0
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://github.com/pf4j/pf4j/issues/536

---