找回密码
 注册创意安天

漏洞风险提示(20231129)

[复制链接]
发表于 2023-11-29 09:16 | 显示全部楼层 |阅读模式
免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表安天实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与安天实验室一律不予承担。

1 泛微e-office10 sql注入导致远程代码执行漏洞(VUL-2023-17048)
一、漏洞描述:
        泛微.jpg
        泛微e-office系统是面向中小型组织的专业协同OA软件,致力于为企业用户提供专业OA办公系统、移动OA应用等协同OA整体解决方案。
        泛微e-office10前台存在SQL注入漏洞,可以获取管理员账号和口令进入后台,配合后台文件包含即可导致远程代码执行,获取服务器完整控制权限。

二、风险等级:
        高危
三、影响范围:
        泛微 e-office10 < 10.0_20231107
四、修复建议:
        目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
        https://www.eofficeoa.com/oa/dynamic/news?newsType=2


2 Apache Superset 权限提升漏洞(CVE-2023-40610)
一、漏洞描述:
        apache superset.jpg
        Apache Superset 是一个现代的、企业级的数据可视化和数据探索的网络应用程序。它可以连接多种数据源,提供各种图表选项,让不同技能水平的用户都能轻松地分析和呈现数据。
        Apache Superset 在 2.1.2 之前版本中存在权限提升漏洞。由于权限检查不当,导致允许用户访问示例模式及 Apache Superset 元数据库的默认示例数据库连接。攻击者可以使用特制的 CTE SQL 语句更改元数据库中的数据。

二、风险等级:
        高危
三、影响范围:
        Apache Superset < 2.1.2
四、修复建议:
        目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
        https://github.com/apache/superset/releases


3 Apache Superset API 跨站脚本攻击(CVE-2023-43701)
一、漏洞描述:
        apache superset.jpg
        Apache Superset 是一个现代的、企业级的数据可视化和数据探索的网络应用程序。它可以连接多种数据源,提供各种图表选项,让不同技能水平的用户都能轻松地分析和呈现数据。
        Apache Superset 在 2.1.2 之前版本中存在跨站脚本攻击。经过身份认证的攻击者可以通过不完善的有效载荷认证和 REST API 响应类型将恶意代码存入 Chart 的元数据中。当有用户访问特定的 API 端点时,恶意代码将被执行。

二、风险等级:
        高危
三、影响范围:
         Apache Superset < 2.1.2
四、修复建议:
        目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
        https://github.com/apache/superset/releases


4 Apache NiFi JoltTransformJSON 跨站脚本攻击(CVE-2023-49145)
一、漏洞描述:
        Apache nifi.jpg
        Apache NiFi是一个易于使用、强大、可靠的系统,用于处理和分发数据。它支持强大和可扩展的数据路由、转换和系统中介逻辑的有向图。
        Apache NiFi 在 0.7.0-1.23.2 版本中存在跨站脚本攻击。Apache NiFi 中的 JoltTransformJSON 处理器提供了进阶配置使用的界面,但该界面存在基于 DOM 的跨站脚本攻击。如果授权配置 JoltTransformJSON 处理器的用户访问伪造 URL,则会导致会话上下文中的 JavaScript 代码执行。

二、风险等级:
        高危
三、影响范围:
        0.7.0 <= Apache NiFi <= 1.23.2
四、修复建议:
        目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
        https://nifi.apache.org/download.html

您需要登录后才可以回帖 登录 | 注册创意安天

本版积分规则

Archiver|手机版|小黑屋|创意安天 ( 京ICP备09068574,ICP证100468号。 )

GMT+8, 2024-12-27 08:25

Powered by Discuz! X3.5

© 2001-2024 Discuz! Team.

快速回复 返回顶部 返回列表