找回密码
 注册创意安天

漏洞风险提示(20230919)

[复制链接]
发表于 2023-9-19 09:17 | 显示全部楼层 |阅读模式
免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表安天实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与安天实验室一律不予承担。

1 OpenRefine 任意文件读取漏洞(CVE-2023-41886)
一、漏洞描述:
        OpenRefine.jpg
        OpenRefine 是一个基于 Java 的强大工具,可让您加载数据、理解数据、清理数据、协调数据,并使用来自 Web 的数据对其进行扩充。OpenRefine 允许任何未经身份验证的用户读取服务器上的文件
二、风险等级:
        高危
三、影响范围:
        OpenRefine <= 3.7.4
四、修复建议:
        目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
        https://github.com/OpenRefine/OpenRefine/releases


2 JumpServer Session 未授权访问漏洞(CVE-2023-42442)
一、漏洞描述:
        JumpServer.jpg
        JumpServer是一款符合4A规范的开源堡垒机,帮助企业以更安全的方式管控和登录各种类型的资产,实现事前授权、事中监察、事后审计,满足等保合规要求。JumpServer 在 3.0.0-3.6.3 版本存在未授权访问漏洞。由于系统权限配置存在不合理,导致未授权攻击者可以直接访问 /api/v1/terminal/sessions/ 相关路由。
二、风险等级:
        高危
三、影响范围:
        3.0.0 <= JumpServer <= 3.6.3
四、修复建议:
        目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
        https://github.com/jumpserver/jumpserver/releases


3 Zenario CMS跨站脚本漏洞(CVE-2023-39578)
一、漏洞描述:
        Zenario.jpg
        Zenario CMS是Zenario开源的一个应用软件,提供一个基于Web的内容管理系统。Zenario CMS 9.4版本存在跨站脚本漏洞,攻击者可利用该漏洞通过向菜单导航文本字段注入特制的载荷执行任意Web脚本或HTML。
二、风险等级:
        高危
三、影响范围:
        Zenario CMS 9.4
四、修复建议:
        目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
        https://github.com/anh91/Zenario-xss/issues/1


4 pf4j路径遍历漏洞(CVE-2023-40826)
一、漏洞描述:
        PF4J.jpg
        pf4j是PF4J开源的一个Java插件框架。pf4j 3.9.0及之前版本存在路径遍历漏洞,远程攻击者可利用该漏洞获取敏感信息并通过zippluginPath参数执行任意代码。
二、风险等级:
        高危
三、影响范围:
        pf4j <= 3.9.0
四、修复建议:
        目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
        https://github.com/pf4j/pf4j/issues/536

您需要登录后才可以回帖 登录 | 注册创意安天

本版积分规则

Archiver|手机版|小黑屋|创意安天 ( 京ICP备09068574,ICP证100468号。 )

GMT+8, 2024-12-27 11:17

Powered by Discuz! X3.5

© 2001-2024 Discuz! Team.

快速回复 返回顶部 返回列表