找回密码
 注册创意安天

漏洞风险提示(20231108)

[复制链接]
发表于 2023-11-8 09:25 | 显示全部楼层 |阅读模式
免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表安天实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与安天实验室一律不予承担。

1 Novel-Plus /common/log/list SQL注入漏洞(CVE-2023-46981)
一、漏洞描述:
       
        Novel-Plus 是一个多端(PC、WAP)阅读,功能完善的原创文学 CMS 系统。
        Novel-Plus 在 v.4.2.0 版本中存在SQL注入漏洞。经过身份认证的攻击者可以通过 /common/log/list 路由进行SQL注入,从而获取数据库中的敏感信息。

二、风险等级:
        高危
三、影响范围:
        Novel-Plus v.4.2.0
四、修复建议:
        目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
        https://github.com/201206030/novel-plus


2 Apache Allura import 文件读取漏洞(CVE-2023-46851)
一、漏洞描述:
        Apache Allura.jpg
        Apache Allura 是一个开源的软件锻造平台,它可以管理源代码库、错误报告、讨论、维基页面、博客等等。
        Apache Allura 在 1.0.1-1.15.0 版本中存在文件读取漏洞。由于 Allura 没有对附件中指定的URL值进行过滤或限制,当攻击者导入附件后,项目管理员可以对其进行运行,这可能导致 Allura 读取本地文件并将它们公开出来。

二、风险等级:
        高危
三、影响范围:
        1.0.1 <= Apache Allura <= 1.15.0
四、修复建议:
        目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
        https://github.com/apache/allura/tags


3 foodcoopshop 代码问题漏洞(CVE-2023-46725)
一、漏洞描述:
        foodcoopshop.jpg
        foodcoopshop是foodcoopshop开源的一款用于食品合作社和商店的开源软件。
        foodcoopshop 3.6.1之前版本存在代码问题漏洞,该漏洞源于容易受到服务器端请求伪造攻击。

二、风险等级:
        高危
三、影响范围:
        foodcoopshop < 3.6.1
四、修复建议:
        目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
        https://github.com/foodcoopshop/ ... GHSA-jhww-fx2j-3rf7


4 7-Zip 安全漏洞(CVE-2023-31102)
一、漏洞描述:
        7-Zip.jpg
        7-Zip是一个压缩软件。
        7-Zip 22.01及之前版本存在安全漏洞,该漏洞源于允许通过精心设计的7Z存档进行整数下溢和代码执行。

二、风险等级:
        高危
三、影响范围:
        7-Zip <= 22.01
四、修复建议:
        目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
        https://www.7-zip.org/download.html

您需要登录后才可以回帖 登录 | 注册创意安天

本版积分规则

Archiver|手机版|小黑屋|创意安天 ( 京ICP备09068574,ICP证100468号。 )

GMT+8, 2024-11-23 11:53

Powered by Discuz! X3.5

© 2001-2024 Discuz! Team.

快速回复 返回顶部 返回列表