设为首页

创意安天

 找回密码
 注册创意安天
创意安天»论坛 社区服务 傲气安天 安全预警 漏洞风险提示(20231207)
返回列表 发新帖

漏洞风险提示(20231207)

[复制链接]
发表于 2023-12-7 09:41 | 显示全部楼层 |阅读模式
免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表安天实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与安天实验室一律不予承担。

1 Confluence Data Center and Server 远程代码执行漏洞(CVE-2023-22522)
一、漏洞描述:
        Confluence.jpg
        Confluence 是由 Atlassian 开发的企业级专业的企业知识管理与协同软件,也可以用于构建企业wiki。使用简单,帮助团队成员之间共享信息、文档协作、集体讨论,信息推送。
        该漏洞允许经过身份验证的攻击者(包括具有匿名访问权限的攻击者)将不安全的用户输入注入 Confluence 页面通过模板注入漏洞进而导致在服务器上执行任意代码。
二、风险等级:
        高危
三、影响范围:
        Confluence Data Center and Server 4.x.x
        Confluence Data Center and Server 5.x.x
        Confluence Data Center and Server 6.x.x
        Confluence Data Center and Server 7.x.x
        Confluence Data Center and Server 8.0.x
        Confluence Data Center and Server 8.1.x
        Confluence Data Center and Server 8.2.x
        Confluence Data Center and Server 8.3.x
        Confluence Data Center and Server 8.4.0
        Confluence Data Center and Server 8.4.1
        Confluence Data Center and Server 8.4.2
        Confluence Data Center and Server 8.4.3
        Confluence Data Center and Server 8.4.4
        Confluence Data Center and Server 8.5.0
        Confluence Data Center and Server 8.5.1
        Confluence Data Center and Server 8.5.2
        Confluence Data Center and Server 8.5.3
        Confluence Data Center 8.6.0
        Confluence Data Center 8.6.1
四、修复建议:
        目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
        https://www.atlassian.com/software/confluence/download-archives

2 Asrmicro ASR1803 缓冲区错误漏洞(CVE-2023-49701)
一、漏洞描述:
        asrmicro.jpg
        Asrmicro ASR1803是中国翱捷科技(Asrmicro)公司的一款芯片。ASR1803、ASR1806 存在安全漏洞,该漏洞源于越界访问 SIM 管理中的缓冲区,导致USIMPhase2init 时 SIM 管理内存损坏。
二、风险等级:
        高危
三、影响范围:
        Asrmicro ASR1803
        Asrmicro ASR1806
四、修复建议:
        目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
        https://www.asrmicro.com/en/goods/psirt?cid=31

3 Misskey 数据伪造问题漏洞(CVE-2023-49079)
一、漏洞描述:
        Misskey.jpg
        Misskey是一套微型博客平台。Misskey 2023.11.0及之前版本存在数据伪造问题漏洞,该漏洞源于缺少签名验证,允许任意用户冒充任何远程用户。
二、风险等级:
        高危
三、影响范围:
        Misskey <= 2023.11.0
四、修复建议:
        目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
        https://github.com/misskey-dev/m ... GHSA-3f39-6537-3cgc

4 PrestaShop SQL注入漏洞(CVE-2023-48188)
一、漏洞描述:
        PrestaShop.jpg
        PrestaShop是美国PrestaShop公司的一套开源的电子商务解决方案。该方案提供多种支付方式、短消息提醒和商品图片缩放等功能。
        PrestaShop opartdevis v.4.5.18 至 v.4.6.12版本存在SQL注入漏洞,该漏洞源于允许远程攻击者通过 getModuleTranslation 函数使用精心设计的脚本执行任意代码。
二、风险等级:
        高危
三、影响范围:
        v.4.5.18 < PrestaShop opartdevis < v.4.6.12
四、修复建议:
        目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
        https://security.friendsofpresta ... /23/opartdevis.html
回复

举报

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 注册创意安天

本版积分规则

小黑屋|手机版|Archiver|创意安天 ( 京ICP备09068574,ICP证100468号。 )

GMT+8, 2024-5-19 18:17

Powered by Discuz! X3.4

© 2001-2023 Discuz! Team.

快速回复 返回顶部 返回列表