漏洞风险提示（20231229）

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 go-git拒绝服务漏洞(CVE-2023-49568)
一、漏洞描述：
       
        go-git是一个用Go语言编写的高度可扩展的 git 实现库。
        该漏洞存在于go-git 4.0.0 - 5.11之前的版本中，威胁者可提供恶意制作的 Git 服务器响应来执行拒绝服务攻击，从而导致go-git 客户端资源耗尽。
二、风险等级：
        高危
三、影响范围：
        4.0.0<= go-git版本< 5.11.0
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://github.com/go-git/go-git/releases

---

2 AOMedia 输入验证错误漏洞(CVE-2023-6879)
一、漏洞描述：
       
        AOMedia是AOMedia组织的一个适合所有人的下一代开源数字媒体技术。
        AOMedia v3.7.1之前版本存在输入验证错误漏洞，该漏洞源于在执行多线程编码时提高视频帧的分辨率可能会导致 av1_loop_restoration_dealloc() 中出现堆溢出。
二、风险等级：
        高危
三、影响范围：
        AOMedia < v3.7.1
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://aomedia.googlesource.com/aom/+/refs/tags/v3.7.1

---

3 Ubystanitim University Information Management System 输入验证错误漏洞(CVE-2023-6190)
一、漏洞描述：
       
        Ubystanitim University Information Management System是一个信息管理系统。
        Ubystanitim University Information Management System 30.11.2023版本存在输入验证错误漏洞，该漏洞源于不正确输入验证导致路径遍历。
二、风险等级：
        高危
三、影响范围：
        Ubystanitim University Information Management System 30.11.2023
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://ubystanitim.ikcu.edu.tr/

---

4 Weseek GROWI 跨站脚本漏洞(CVE-2023-49779)
一、漏洞描述：
       
        Weseek GROWI是日本Weseek公司的一套团队协作软件。
        Weseek GROWI v6.0.0之前版本存在跨站脚本漏洞，该漏洞源于anchor tag中存在跨站脚本，攻击者利用该漏洞可以在用户的 Web 浏览器上执行任意脚本。
二、风险等级：
        高危
三、影响范围：
        Weseek GROWI < v6.0.0
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://weseek.co.jp/ja/news/2023/11/21/growi-prevent-xss6/

---