漏洞风险提示（20231023）

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 Apache inlong 任意文件读取漏洞(CVE-2023-46227)
一、漏洞描述：
       
        Apache InLong是一站式、全场景的海量数据集成框架，同时支持数据接入、数据同步和数据订阅，提供自动、安全、可靠和高性能的数据传输能力，方便业务构建基于流式的数据分析、建模和应用。
        Apache InLong 在 1.4.0-1.8.0 版本中存在任意文件读取漏洞。经过身份认证的攻击者在使用JDBC连接时，利用""\t""绕过系统过滤，从而进行任意文件读取。
二、风险等级：
        高危
三、影响范围：
        1.4.0 <= Apache InLong <= 1.8.0
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://github.com/apache/inlong/releases

---

2 Oracle WebLogic Server 远程代码执行漏洞(CVE-2023-22089)
一、漏洞描述：
       
        Oracle WebLogic Server 是一个可扩展的、企业级的 Java EE 应用服务器，支持部署多种类型的分布式应用程序，是构建基于 SOA 的应用程序的理想基础。
        Oracle WebLogic Server 存在远程代码执行漏洞。未经身份认证的攻击者可以通过 T3/IIOP 协议发送恶意请求，从而获取服务器权限。
二、风险等级：
        高危
三、影响范围：
        Oracle WebLogic Server 12.2.1.4.0
        Oracle WebLogic Server 14.1.1.0.0
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://www.oracle.com/security-alerts/cpuoct2023.html

---

3 Spring AMQP反序列化漏洞(CVE-2023-34050)
一、漏洞描述：
       
        Spring AMQP 是一个基于 AMQP 的消息传递解决方案，它应用了 Spring 框架的核心概念，提供了高级抽象层，支持 POJO 驱动的消息处理和依赖注入。
        Spring AMQP 存在反序列化漏洞。由于在使用 SimpleMessageConverter 或 SerializerMessageConverter 时可反序列化类名的白名单默认情况为空，这将导致所有类都可以被反序列化。
二、风险等级：
        高危
三、影响范围：
        1.0.0 <= Spring AMQP <= 2.4.16
        3.0.0 <= Spring AMQP <= 3.0.9
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://github.com/spring-projects/spring-amqp/releases

---

4 Apache bRPC 跨站脚本漏洞(CVE-2023-45757)
一、漏洞描述：
       
        Apache bRPC 是一个高性能、通用的远程过程调用（RPC）框架。
        所有平台上的 Apache bRPC <=1.6.0 中的安全漏洞允许攻击者将 XSS 代码注入内置 rpcz 页面。
二、风险等级：
        高危
三、影响范围：
        0.9.0 <= Apache bRPC <=1.6.0
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://brpc.apache.org/docs/downloadbrpc/

---