免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表安天实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与安天实验室一律不予承担。
1 安拓软件工程项目建安管理系统 SQL注入漏洞(CVE-2023-5828)
一、漏洞描述:
安拓软件工程项目建安管理系统是一套先进的大型投资集团项目全过程管理系统。
安拓软件工程项目建安管理系统在 20231026 及之前版本中存在SQL注入漏洞。未授权攻击者可以通过 login.aspx 的登录功能进行SQL注入,从而获取数据库中的敏感信息。
二、风险等级:
高危
三、影响范围:
安拓软件工程项目建安管理系统 <= 20231026
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
http://web.ontall.com/page95
2 上海华测监测预警系统 SQL注入漏洞(CVE-2023-5827)
一、漏洞描述:
上海华测监测预警系统是一套科学完善的地质灾害监测预警平台,实现了地质灾害防治管理的科学化、信息化、标准化和可视化。
上海华测监测预警系统在 2.2 中存在SQL注入漏洞。未经授权的攻击者可能通过 /Web/SysManage/UserEdit.aspx 文件的 ID 参数进行SQL注入,从而获取数据库中的敏感信息或进行命令执行控制服务器。
二、风险等级:
高危
三、影响范围:
上海华测监测预警系统 2.2
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
http://www.huacecs.com/sales.asp
3 Cacti managers.php SQL注入漏洞(CVE-2023-46490)
一、漏洞描述:
Cacti是一套基于PHP、MySQL、SNMP及RRDTool开发的网络流量监测图形分析工具。
Cacti 在 1.2.25 及之前版本存在SQL注入漏洞。经过身份认证的攻击者可能通过 managers.php 文件中的 form_actions() 函数进行SQL注入,获取数据库中的敏感信息。
二、风险等级:
高危
三、影响范围:
Cacti <= 1.2.25
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://github.com/Cacti/cacti
4 Apache Airflow Celery provider 日志包含敏感信息(CVE-2023-46215)
一、漏洞描述:
Apache Airflow Celery provider是一个Airflow的提供者包,它提供了与Celery相关的功能,如任务调度和执行。
Apache Airflow Celery provider 中存在日志包含敏感信息。在使用 rediss、amqp、rpc 协议作为 Celery 结果后端时,敏感信息将会以明文形式被记录在日志中。
二、风险等级:
高危
三、影响范围:
3.3.0 <= Apache Airflow Celery provider <= 3.4.0
1.10.0 <= Apache Airflow <= 2.6.3
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://github.com/apache/airflow/releases
|
发表于 2023-10-31 09:42