免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表安天实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与安天实验室一律不予承担。
1 Apache IoTDB SyncTool 反序列化漏洞(CVE-2023-51656)
一、漏洞描述:
Apache IoTDB (Internet of Things Database) 是一款时序数据库管理系统,可以为用户提供数据收集、存储和分析等服务。
Apache IoTDB 在 0.13.0-0.13.4 版本中存在反序列化漏洞。攻击者可以通过Sync Tool进行反序列化操作,从而导致远程代码执行。
二、风险等级:
高危
三、影响范围:
0.13.0 <= Apache IoTDB <= 0.13.4
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://github.com/apache/iotdb/releases
2 百卓网络Smart多业务安全网关智能管理平台 importexport.php sql注入漏洞(CVE-2023-7039)
一、漏洞描述:
百卓Smart是一种系列品牌上网行为管理设备,多种应用功能集于一身,包括网络应用封堵、流量控制、链路负载均衡、网页分类阻断、上网内容审计、防火墙、VPN等,可帮助企业有效减少网络建设成本、规范员工上网行为、提升网络带宽利用率、避免企业信息泄露、增强网络稳定性和安全性。
百卓网络Smart多业务安全网关智能管理平台存在任意SQL执行漏洞,其importexport.php文件可直接拼接sql语句进行执行。
二、风险等级:
高危
三、影响范围:
百卓Smart
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://www.byzoro.com/
3 GitHub Enterprise Server 权限升级 (CVE-2023-46647)
一、漏洞描述:
GitHub Enterprise Server是GitHub提供的一种自托管的版本控制和协作平台,用于团队和组织在内部搭建和管理代码仓库。
GitHub Enterprise Server 3.8.0 允许具有编辑者角色的管理控制台授权访问权限的用户通过向用于引导实例的端点发出请求来升级其权限。
二、风险等级:
高危
三、影响范围:
GitHub Enterprise Server <= 3.8.0
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://enterprise.github.com/releases/3.11.0/download
4 IBM Planning Analytics 文件上传(CVE-2023-42017)
一、漏洞描述:
IBM Planning Analytics 是一个集成式规划解决方案,使用 echarts 数据可视化、AI 自动执行规划、预算编制和预测,并推动更智能的工作流程。
IBM Planning Analytics Local 2.0 存在远程攻击者上传任意文件漏洞,原因是对文件扩展名的验证不正确。攻击者可以通过发送特制的HTTP请求利用此漏洞上传恶意脚本,从而在受影响的系统上执行任意代码。
二、风险等级:
高危
三、影响范围:
IBM Planning Analytics Local 2.0
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://www.ibm.com/support/pages/node/7097765
|