免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表安天实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与安天实验室一律不予承担。
1 Apache Dubbo 反序列化漏洞(CVE-2023-46279)
一、漏洞描述:
Apache Dubbo 是一款易用、高性能的 WEB 和 RPC 框架,同时为构建企业级微服务提供服务发现、流量治理、可观测、认证鉴权等能力、工具与最佳实践。
Apache Dubbo 在 3.1.5 版本中存在反序列化漏洞。攻击者可以构造特制的序列化利用链绕过 Dubbo 中的黑名单进行反序列化利用,导致恶意代码执行。
二、风险等级:
高危
三、影响范围:
Apache Dubbo 3.1.5
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://github.com/apache/dubbo/releases
2 WAGO licenses.php 远程代码执行漏洞(CVE-2023-1698)
一、漏洞描述:
WAGO是一家专业从事电气互连、自动化和接口电子技术的公司。
在 WAGO 的多个产品中,一个漏洞允许未经身份验证的远程攻击者创建新用户并更改设备配置,可能导致意远程RCE、拒绝服务等使整个系统受损。
二、风险等级:
高危
三、影响范围:
751-9301 Compact Controller CC100 FW20 <= FW22
751-9301 Compact Controller CC100 FW23
752-8303/8000-002 Edge Controller FW22
750-81xx/xxx-xxx PFC100 FW20 <= FW22
750-81xx/xxx-xxx PFC100 FW23
750-82xx/xxx-xxx PFC200 FW20 <= FW22
750-82xx/xxx-xxx PFC200 FW23
762-5xxx Touch Panel 600 Advanced Line FW22
762-6xxx Touch Panel 600 Marine Line FW22
762-4xxx Touch Panel 600 Standard Line FW22
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://www.wago.com/tw/software-downloads
3 ProLion CryptoSpike 权限提升漏洞(CVE-2023-36646)
一、漏洞描述:
CryptoSpike 是保护存储系统免受勒索软件。
ProLion CryptoSpike 3.0.15P2 中的多个 REST API 端点中的用户角色检查不正确,允许低权限的远程攻击者执行特权功能并通过 REST API 端点调用实现权限升级。
二、风险等级:
高危
三、影响范围:
ProLion CryptoSpike 3.0.15P2
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://prolion.com/cryptospike/
4 Adobe After Effects 输入验证错误漏洞(CVE-2023-48634)
一、漏洞描述:
Adobe After Effects是美国奥多比(Adobe)公司的一套视觉效果和动态图形制作软件。该软件主要用于2D和3D合成、动画制作和视觉特效制作等。
Adobe After Effects 24.0.3 版本及之前版本和 23.6.0 版本及之前版本存在输入验证错误漏洞,该漏洞源于受到不正确输入验证漏洞的影响,该漏洞可能导致在当前用户的环境中执行任意代码。
二、风险等级:
高危
三、影响范围:
24.0.3 <= Adobe After Effects <= 23.6.0
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://helpx.adobe.com/security ... ects/apsb23-75.html
|
发表于 2023-12-18 09:16