找回密码
 注册创意安天

漏洞风险提示(20231008)

[复制链接]
发表于 2023-10-8 09:20 | 显示全部楼层 |阅读模式
免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表安天实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与安天实验室一律不予承担。

1 CCM中主机/服务升级中的 SQL 注入漏洞(CVE-2023-40934)
        Nagios XI.jpg
一、漏洞描述:
        Nagios XI 是一种流行且广泛使用的商业监控解决方案,适用于 IT 基础设施和网络监控。它是开源 Nagios Core 监控平台的商业版本,并提供了附加功能来简化管理复杂 IT 环境的过程。
        Nagios XI 版本<=5.11.1中存在SQL注入漏洞,具有在核心配置管理器(CCM)中管理主机升级权限的经过身份验证的威胁者可通过发送到/nagiosxi/includes/components/ccm/index.php端点的POST 请求中的tfFirstNotif、tfLastNotif或tfNotifInterval参数执行SQL注入攻击,从而导致敏感信息泄露。

二、风险等级:
        高危
三、影响范围:
        Nagios XI版本<= 5.11.1
四、修复建议:
        目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
        https://www.nagios.com/downloads/nagios-xi/change-log/


2 Banner确认端点中的 SQL 注入漏洞(CVE-2023-40931)
        Nagios XI.jpg
一、漏洞描述:
        Nagios XI 是一种流行且广泛使用的商业监控解决方案,适用于 IT 基础设施和网络监控。它是开源 Nagios Core 监控平台的商业版本,并提供了附加功能来简化管理复杂 IT 环境的过程。
        Nagios XI 版本5.11.0 - 5.11.1 的Announcement Banners功能在Banner确认端点中易受SQL 注入漏洞的影响,经过身份验证的威胁者可通过发送到 /nagiosxi/admin/banner_message-ajaxhelper.php 的 POST 请求中的 ID 参数执行SQL注入攻击,从而导致敏感信息泄露。

二、风险等级:
        高危
三、影响范围:
        Nagios XI版本<= 5.11.1
四、修复建议:
        目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
        https://www.nagios.com/downloads/nagios-xi/change-log/


3 TorchServe 服务端请求伪造漏洞(CVE-2023-43654)
        torchserver.jpg
一、漏洞描述:
        TorchServe在默认配置下允许用户通过任意URL来加载模型,远程未授权攻击者可能利用此漏洞远程下载文件并将其写入磁盘,组合CVE-2022-1471可能导致远程代码执行。
二、风险等级:
        高危
三、影响范围:
        0.1.0 <= Pytorch Torchserve < 0.8.2
四、修复建议:
        目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
        https://github.com/pytorch/serve/releases/tag/v0.8.2


4 JumpServer koko组件远程命令执行漏洞(CVE-2023-43651)
        JumpServer.jpg
一、漏洞描述:
        JumpServer 是一款广受欢迎的开源堡垒机,是符合 4A 规范的专业运维安全审计系统。
        Koko 是 JumpServer 连接字符协议的终端组件,支持 SSH、TELNET、MySQL、Redis 等协议。用户可通过koko提供的WEB CLI界面登录授权的mongoDB数据库,并利用MongoDB会话执行任意命令,并可能进一步利用该漏洞来获得主机系统的 root 权限。

二、风险等级:
        高危
三、影响范围:
        Koko版本v2.0.0-v2.28.19
        Koko版本v3.0.0-v3.7.0

四、修复建议:
        目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
        https://github.com/jumpserver/koko/releases

您需要登录后才可以回帖 登录 | 注册创意安天

本版积分规则

Archiver|手机版|小黑屋|创意安天 ( 京ICP备09068574,ICP证100468号。 )

GMT+8, 2024-12-27 11:25

Powered by Discuz! X3.5

© 2001-2024 Discuz! Team.

快速回复 返回顶部 返回列表