漏洞风险提示（20231127）

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 TOTOlink A3700R 命令注入漏洞(CVE-2023-48192)
一、漏洞描述：
       
        TOTOLINK A3700R 是一款无线路由器。
        TOTOlink A3700 R v.9.1.2u.6134_B20201202中存在一个问题，允许本地攻击者通过setTracerouteCfg函数执行任意代码。
二、风险等级：
        高危
三、影响范围：
        TOTOlink A3700R <= V9.1.2u.6134_B20201202
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://www.honeywell.com/us/en/product-security

---

2 OwnCloud 信息泄漏(CVE-2023-49103)
一、漏洞描述：
       
        OwnCloud是一款开源的文件同步和共享解决方案，它允许用户在自己的服务器或云存储中创建个人云服务，以便安全地存储、同步和共享文件。
        OwnCloud owncloud/graphapi 在 0.2.x(0.2.1之前) 和 0.3.x(0.3.1之前) 存在信息泄露。graphapi 应用程序依赖于提供URL的第三方库。它会显示 phpinfo 的信息，该信息中包括了环境变量，如：ownCloud管理员密码、邮件服务器凭证和许可证密码等内容。
二、风险等级：
        高危
三、影响范围：
        0.2.0 <= OwnCloud owncloud/graphapi < 0.2.1
        0.3.0 <= OwnCloud owncloud/graphapi < 0.3.1
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://owncloud.com/security-ad ... erized-deployments/

---

3 PrestaShop MyPrestaModules sql注入漏洞(CVE-2023-46357)
一、漏洞描述：
       
        PrestaShop 是一种流行的开源电子商务平台，用于创建和管理在线商店。
        在MyPrestaModules for PrestaShop的<3.5.0模块中，该方法motivationsaleDataModel::getProductsByIds()具有敏感的 SQL 调用，可以通过简单的 http 调用来执行，并被利用来伪造 SQL 注入。
二、风险等级：
        高危
三、影响范围：
         MyPrestaModules Cross Selling in Modal Cart < 3.5.0
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://addons.prestashop.com/fr ... -in-modal-cart.html

---

4 Dell OS Recovery Tool 权限提升漏洞(CVE-2023-39253)
一、漏洞描述：
       
        Dell OS Recovery Tool（戴尔操作系统恢复工具）是戴尔公司提供的一种工具，旨在帮助用户重新安装或升级其戴尔计算机的操作系统。
        戴尔操作系统恢复工具版本2.2.4013、2.3.7012.0和2.3.7515.0包含不正确的访问控制漏洞。经过身份验证的本地非管理员用户可能会利用此漏洞，从而提升系统的权限。
二、风险等级：
        高危
三、影响范围：
        Dell OS Recovery Tool = 2.2.4013/2.3.7012.0/2.3.7515.0
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://www.dell.com/support/hom ... /osiso/recoverytool

---