找回密码
 注册创意安天

漏洞风险提示(20231107)

[复制链接]
发表于 2023-11-7 09:34 | 显示全部楼层 |阅读模式
免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表安天实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与安天实验室一律不予承担。

1 IBM Content Navigator 服务器端请求伪造漏洞(CVE-2023-35896)
一、漏洞描述:
        ibm.jpg
        IBM Content Navigator是一款由IBM开发的Web客户端,它提供了一个控制台,使用户可以从多个内容服务器中访问和管理文档,同时还可以创建团队空间以便于团队协作。
        IBM Content Navigator 在 3.0.13 版本中存在服务器端请求伪造漏洞(SSRF)。这可能允许经过身份验证的攻击者从系统发送未经授权的请求,从而可能导致扫描网段或文件读取等操作。

二、风险等级:
        高危
三、影响范围:
        IBM Content Navigator 3.0.13
四、修复建议:
        目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
        https://www.ibm.com/support/pages/node/7065203


2 phpFox /core/redirect 反序列化漏洞(CVE-2023-46817)
一、漏洞描述:
        phpFox.jpg
        phpFox是一款基于PHP的社交网络平台。phpFox 在 4.8.14 版本之前存在反序列化漏洞。
        由于系统没有对用户输入进行过滤,攻击者在请求 index.php/core/reDirect 路由时,可以使用url参数携带恶意序列化字符串,从而达到远程代码执行。

二、风险等级:
        高危
三、影响范围:
        phpFox < 4.8.14
四、修复建议:
        目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
        https://docs.phpfox.com/display/FOX4MAN/phpFox+4.8.14


3 QNAP Systems QTS和QuTS hero 操作系统命令注入漏洞(CVE-2023-23368)
一、漏洞描述:
        QNAP Systems QTS.jpg
        QNAP Systems QTS和QNAP Systems QuTS hero都是中国威联通科技(QNAP Systems)公司的产品。QNAP Systems QTS是一个入门到中阶QNAP NAS 使用的操作系统。
        QNAP Systems QuTS hero是一个操作系统。QNAP Systems QTS和QuTS hero存在操作系统命令注入漏洞,该漏洞源于存在操作系统命令注入漏洞,可能允许攻击者通过网络执行命令。

二、风险等级:
        高危
三、影响范围:
        QNAP Systems QTS
        QuTS hero

四、修复建议:
        目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
        https://www.qnap.com/en/security-advisory/qsa-23-31


4 ZOHO ManageEngine Desktop Central 注入漏洞(CVE-2023-4768)
一、漏洞描述:
        ZOHO ManageEngine Desktop Central.jpg
        ZOHO ManageEngine Desktop Central(DC)是美国卓豪(ZOHO)公司的一套桌面管理解决方案。
        该方案包含软件分发、补丁管理、系统配置、远程控制等功能模块,可对桌面机以及服务器管理的整个生命周期提供支持。ZOHO ManageEngine Desktop Central 9.1.0版本存在注入漏洞,该漏洞源于存在CRLF注入漏洞,可能允许远程攻击者注入任意HTTP标头,并通过参数fileName执行HTTP响应拆分攻击。

二、风险等级:
        高危
三、影响范围:
        ZOHO ManageEngine Desktop Central 9.1.0
四、修复建议:
        目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
        https://www.manageengine.com/pro ... -home-hero-download

您需要登录后才可以回帖 登录 | 注册创意安天

本版积分规则

Archiver|手机版|小黑屋|创意安天 ( 京ICP备09068574,ICP证100468号。 )

GMT+8, 2024-11-23 11:52

Powered by Discuz! X3.5

© 2001-2024 Discuz! Team.

快速回复 返回顶部 返回列表