找回密码
 注册创意安天

漏洞风险提示(20231208)

[复制链接]
发表于 2023-12-8 09:46 | 显示全部楼层 |阅读模式
免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表安天实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与安天实验室一律不予承担。

1 Apache Struts 文件上传漏洞(S2-066/CVE-2023-50164)
一、漏洞描述:
        Apache Struts.jpg
        Struts是一个开源的Java Web应用程序开发框架,它旨在简化和加速Java Web应用程序的开发过程。Struts在 2.5.33 和 6.3.0.2 版本之前存在文件上传漏洞。
        当攻击者可以操纵文件上传参数时,通过污染参数开启路径遍历。在某些情况下,这可能会导致上传恶意Webshell文件,从而进行远程代码执行利用。

二、风险等级:
        高危
三、影响范围:
        Struts < 2.5.33
        Struts < 6.3.0.2

四、修复建议:
        目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
        https://struts.apache.org/download.cgi


2 PyDrive2 YAML反序列化漏洞(CVE-2023-49297)
一、漏洞描述:
       
        PyDrive2是一个用于Python编程语言的开源库,可以方便地与Google Drive进行交互。PyDrive2 在 1.17.0 和 1.16.1 及之前版本中存在反序列化漏洞。
        由于 PyDrive2 会通过 LoadSettingsFile 函数加载 YAML 文件,且没有对 YAML 文件的内容进行过滤,当攻击者可以配置恶意 YAML 文件使其进行加载,从而导致任意代码执行利用。

二、风险等级:
        高危
三、影响范围:
        PyDrive2 1.17.0
        PyDrive2 <= 1.16.1

四、修复建议:
        目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
        https://github.com/iterative/PyDrive2/releases


3 RuoYi /system/dept/edit SQL注入漏洞(CVE-2023-49371)
一、漏洞描述:
        RuoYi.jpg
        Ruoyi后台管理系统是基于SpringBoot的权限管理系统 易读易懂、界面简洁美观。 核心技术采用Spring、MyBatis、Shiro没有任何其它重度依赖。
        Ruoyi 在 v4.6.2 之前版本中存在SQL注入漏洞。经过身份认证的攻击者可以通过 /system/dept/edit 路由进行SQL注入利用,从而获取数据库中的敏感信息。

二、风险等级:
        高危
三、影响范围:
        Ruoyi < v4.6.2
四、修复建议:
        目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
        https://gitee.com/y_project/RuoYi


4 Elasticsearch-Hadoop 反序列化漏洞(CVE-2023-46674)
一、漏洞描述:
        Elasticsearch.jpg
        Elasticsearch-Hadoop是一组开源工具,用于实现Elasticsearch与Hadoop生态系统的集成。这个工具集的目标是使用户能够在使用Hadoop技术处理大数据的同时,能够无缝地将数据索引到Elasticsearch中进行搜索和分析。
        Elasticsearch-Hadoop 在 7.17.11 之前版本和 8.9.0 之前版本存在反序列化漏洞。经过身份认证的攻击者可以修改 hadoop 和 spark 配置属性,从而进行反序列化利用。

二、风险等级:
        高危
三、影响范围:
        Elasticsearch-hadoop < 7.17.11
        8.0.0 <= Elasticsearch-hadoop < 8.9.0

四、修复建议:
        目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
        https://github.com/elastic/elasticsearch-hadoop/releases

您需要登录后才可以回帖 登录 | 注册创意安天

本版积分规则

Archiver|手机版|小黑屋|创意安天 ( 京ICP备09068574,ICP证100468号。 )

GMT+8, 2024-12-27 08:36

Powered by Discuz! X3.5

© 2001-2024 Discuz! Team.

快速回复 返回顶部 返回列表