漏洞风险提示（20231107）

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 IBM Content Navigator 服务器端请求伪造漏洞(CVE-2023-35896)
一、漏洞描述：
       
        IBM Content Navigator是一款由IBM开发的Web客户端，它提供了一个控制台，使用户可以从多个内容服务器中访问和管理文档，同时还可以创建团队空间以便于团队协作。
        IBM Content Navigator 在 3.0.13 版本中存在服务器端请求伪造漏洞(SSRF)。这可能允许经过身份验证的攻击者从系统发送未经授权的请求，从而可能导致扫描网段或文件读取等操作。
二、风险等级：
        高危
三、影响范围：
        IBM Content Navigator 3.0.13
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://www.ibm.com/support/pages/node/7065203

---

2 phpFox /core/redirect 反序列化漏洞(CVE-2023-46817)
一、漏洞描述：
       
        phpFox是一款基于PHP的社交网络平台。phpFox 在 4.8.14 版本之前存在反序列化漏洞。
        由于系统没有对用户输入进行过滤，攻击者在请求 index.php/core/reDirect 路由时，可以使用url参数携带恶意序列化字符串，从而达到远程代码执行。
二、风险等级：
        高危
三、影响范围：
        phpFox < 4.8.14
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://docs.phpfox.com/display/FOX4MAN/phpFox+4.8.14

---

3 QNAP Systems QTS和QuTS hero 操作系统命令注入漏洞(CVE-2023-23368)
一、漏洞描述：
       
        QNAP Systems QTS和QNAP Systems QuTS hero都是中国威联通科技（QNAP Systems）公司的产品。QNAP Systems QTS是一个入门到中阶QNAP NAS 使用的操作系统。
        QNAP Systems QuTS hero是一个操作系统。QNAP Systems QTS和QuTS hero存在操作系统命令注入漏洞，该漏洞源于存在操作系统命令注入漏洞，可能允许攻击者通过网络执行命令。
二、风险等级：
        高危
三、影响范围：
        QNAP Systems QTS
        QuTS hero
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://www.qnap.com/en/security-advisory/qsa-23-31

---

4 ZOHO ManageEngine Desktop Central 注入漏洞(CVE-2023-4768)
一、漏洞描述：
       
        ZOHO ManageEngine Desktop Central（DC）是美国卓豪（ZOHO）公司的一套桌面管理解决方案。
        该方案包含软件分发、补丁管理、系统配置、远程控制等功能模块，可对桌面机以及服务器管理的整个生命周期提供支持。ZOHO ManageEngine Desktop Central 9.1.0版本存在注入漏洞，该漏洞源于存在CRLF注入漏洞，可能允许远程攻击者注入任意HTTP标头，并通过参数fileName执行HTTP响应拆分攻击。
二、风险等级：
        高危
三、影响范围：
        ZOHO ManageEngine Desktop Central 9.1.0
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://www.manageengine.com/pro ... -home-hero-download

---