免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表安天实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与安天实验室一律不予承担。
1 Milesight路由器信息泄露漏洞(CVE-2023-43261)
一、漏洞描述:
Milesight是一家知名的物联网和视频监控产品制造商。该漏洞源于配置错误,导致路由器系统启用目录列表,使日志文件(如httpd.log)可被公开访问。这些日志文件中包含管理员和其他用户的用户名和密码(加密)等信息,未经身份验证的远程威胁者可通过路由器的 Web 界面获取这些敏感信息。且JavaScript代码中存在硬编码AES密钥和初始化向量(IV)促进了密码解密。成功利用这一系列漏洞链可能导致获得对路由器的未授权访问。
二、风险等级:
高危
三、影响范围:
UR32:32.2.0.10
UR35:35.2.0.10
UR51:51.3.0.41(最终版本/已停产)
UR52:52.30.41(最终版本/已停产)
UR55:55.30.41(最终版本/已停产)
UR72:72.2.0.81(最终版本/已停产)
UR75:75.2.0.81(最终版本/已停产)
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://www.milesight.com/
2 Oracle WebLogic Server 远程代码执行漏洞(CVE-2023-22072)
一、漏洞描述:
Oracle WebLogic Server 是一个可扩展的、企业级的 Java EE 应用服务器,支持部署多种类型的分布式应用程序,是构建基于 SOA 的应用程序的理想基础。
Oracle WebLogic Server 存在远程代码执行漏洞。未经身份认证的攻击者可以通过 T3/IIOP 协议发送恶意请求,从而控制服务器。
二、风险等级:
高危
三、影响范围:
Oracle WebLogic Server 14.1.1.0
Oracle WebLogic Server 12.2.1.4
Oracle WebLogic Server 12.2.1.3
Oracle WebLogic Server 12.1.3
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://www.oracle.com/security-alerts/cpuoct2023.html
3 Oracle WebLogic Server未授权访问漏洞(CVE-2023-22086)
一、漏洞描述:
Oracle WebLogic Server 是一个可扩展的、企业级的 Java EE 应用服务器,支持部署多种类型的分布式应用程序,是构建基于 SOA 的应用程序的理想基础。
Oracle WebLogic Server(组件:Core)存在漏洞,未经身份验证的远程威胁者可通过 T3、IIOP 进行网络访问来破坏 Oracle WebLogic Server,成功利用这些漏洞可能导致对关键数据的未授权访问或对所有 Oracle WebLogic Server 可访问数据的完全访问。
二、风险等级:
高危
三、影响范围:
Oracle WebLogic Server版本:14.1.1.0.0
Oracle WebLogic Server版本:12.2.1.4.0
Oracle WebLogic Server版本:12.2.1.3.0
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://www.oracle.com/security-alerts/cpuoct2023.html
4 Fiber CSRF令牌注入和重用漏洞(CVE-2023-45128)
一、漏洞描述:
Fiber是一个用Go编写的Web 框架,建立在Go最快的HTTP引擎Fasthttp之上,其设计目的是通过零内存分配和高性能来简化快速开发。
该漏洞源于应用程序内CSRF令牌验证和执行不当,可能导致CSRF令牌注入和令牌重用。未经身份验证的威胁者可利用该漏洞注入任意值并以受害用户的身份伪造恶意请求,可能导致以受害用户的身份执行各种恶意操作.
二、风险等级:
高危
三、影响范围:
Fiber< 2.50.0
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://github.com/gofiber/fiber/tags
|
发表于 2023-10-19 09:40