漏洞风险提示（20230925）

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 Apple WebKit 代码执行漏洞(CVE-2023-41993)
一、漏洞描述：
       
        WebKit是一个开源的Web浏览器引擎，它被用于苹果的Safari浏览器，以及macOS、iOS和Linux上的许多其他应用程序。
        在处理攻击者特制的Web内容会导致任意代码执行。
二、风险等级：
        高危
三、影响范围：
        Apple iOS < 16.7
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，升级版本号：
        iOS 16.7 和 iPadOS 16.7、iOS 17.0.1 和 iPadOS 17.0.1、Safari 16.6.1

---

2 Apple iOS 权限提升漏洞(CVE-2023-41992)
一、漏洞描述：
       
        iOS 是苹果公司推出的移动操作系统，运行在 iPhone、iPod touch 和 Apple TV 上，提供丰富的移动应用和服务。iPadOS 是基于 iOS 的专门针对 iPad 设备优化的操作系统，支持多任务处理、手写笔记和更多的外设和键盘快捷方式。
        具有本地权限的攻击者使用此漏洞可以提升操作权限。
二、风险等级：
        高危
三、影响范围：
        Apple iOS < 16.7
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，升级版本号：
        iOS 16.7 和 iPadOS 16.7、OS 17.0.1 和 iPadOS 17.0.1、watchOS 9.6.3、macOS Ventura 13.6、macOS Monterey 12.7、watchOS 10.0.1 &#8195;

---

3 IBM Person Communications(PCOMM) 权限提升漏洞(CVE-2023-37410)
一、漏洞描述：
       
        IBM Personal Communications 是一款用于 Microsoft Windows 的主机通信和终端仿真软件。它具有完整的 64 位架构，支持虚拟终端（VT）仿真和系统网络体系结构（SNA）应用程序，并提供了访问不同主机系统上的数据和应用程序的平台。
        由于过于宽松的访问控制，IBM Personal Communications 允许本地用户将其权限升级为系统用户。
二、风险等级：
        高危
三、影响范围：
        PCOMM   14.0.5
        PCOMM   14.0.6
        PCOMM   15.0.0
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://www.ibm.com/support/fixc ... p;platform=All&

---

4 Announcement Banner SQL注入漏洞（CVE-2023-40933）
一、漏洞描述：
       
        Nagios XI 是一种流行且广泛使用的商业监控解决方案，适用于 IT 基础设施和网络监控。它是开源 Nagios Core 监控平台的商业版本，并提供了附加功能来简化管理复杂 IT 环境的过程。
        Nagios XI 版本<=5.11.1的公告Banner设置的管理页面在/nagiosxi/admin/bbanner message-ajaxhelper.php端点中存在SQL注入漏洞，具有公告Banner配置权限的经过身份验证的威胁者可通过update_banner_message（）函数的ID参数执行SQL注入攻击，从而导致敏感信息泄露。
二、风险等级：
        高危
三、影响范围：
        Nagios XI版本<= 5.11.1
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://www.nagios.com/downloads/nagios-xi/change-log/

---