漏洞风险提示（20231206）

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 Apache Ofbiz XML-RPC 远程代码执行漏洞(CVE-2023-49070)
一、漏洞描述：
       
        Apache OFBiz 是一款用于企业流程自动化的开源产品。它包括ERP、CRM、电子商务、供应链管理和制造资源计划的框架组件和业务应用程序。
        Apache OFBiz 在 18.12.10 版本之前存在远程代码执行漏洞。由于 XML-RPC 已经不再维护，经过身份认证的攻击者可以利用 XML-RPC 进行远程代码执行利用，从而控制服务器。
二、风险等级：
        高危
三、影响范围：
        Apache OFBiz < 18.12.10
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://ofbiz.apache.org/download.html

---

2 用友U8 cloud FileTransportServlet接口与CacheInvokeServlet接口反序远程代码执行漏洞(VUL-2023-12393)
一、漏洞描述：
       
        U8 cloud是用友研发的云ERP，官方在近期修复了两个反序列化远程代码执行，攻击者可发送数据，执行系统命令，获得服务器权限。
二、风险等级：
        高危
三、影响范围：
        U8cloud 所有版本
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://security.yonyou.com/#/pa ... d88b55403cdc150cfea
        https://security.yonyou.com/#/pa ... bc2acd04ee40dc4cb5f

---

3 branch-names 输入验证错误漏洞(CVE-2023-49291)
一、漏洞描述：
       
        branch-names是一个用于检索分支或标签名称的工具。
        branch-names 7.0.7之前版本存在输入验证错误漏洞，该漏洞源于不正确引用上下文变量，攻击者利用此漏洞可以执行任意代码。
二、风险等级：
        高危
三、影响范围：
        branch-names < 7.0.7
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://github.com/tj-actions/br ... GHSA-8v8w-v8xg-79rf

---

4 Zyxel NAS326 操作系统命令注入漏洞(CVE-2023-4474)
一、漏洞描述：
       
        Zyxel NAS326是中国合勤（Zyxel）公司的一款云存储 NAS。
        Zyxel NAS326 V5.21(AAZF.14)C0和NAS542 V5.21(ABAG.11)C0及之前版本存在操作系统命令注入漏洞，该漏洞源于特殊元素的不正确中和，可能允许未经身份验证的攻击者通过向易受攻击的设备发送精心设计的URL执行操作系统命令。
二、风险等级：
        高危
三、影响范围：
        Zyxel NAS326 <= V5.21(AAZF.14)C0
        Zyxel NAS542 <= V5.21(ABAG.11)C0
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://www.zyxel.com/global/en/ ... ies-in-nas-products

---