找回密码
 注册创意安天

漏洞风险提示(20240103)

[复制链接]
发表于 2024-1-3 09:37 | 显示全部楼层 |阅读模式
免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表安天实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与安天实验室一律不予承担。

1 Apache DolphinScheduler JS 任意代码执行漏洞(CVE-2023-49299)
一、漏洞描述:
        Apache DolphinScheduler.jpg
        Apache DolphinScheduler是一个分布式和可扩展的开源工作流编排平台,具有强大的DAG可视化界面,专注于解决数据流水线中的复杂任务依赖问题,并提供多种类型的任务可供"开箱即用"。
        Apache DolphinScheduler 在 3.1.9 之前版本中存在远程代码执行漏洞。由于系统对代码过滤不充分,经过身份认证的攻击者可以在服务器上进行远程代码执行,从而控制服务器。

二、风险等级:
        高危
三、影响范围:
        Apache DolphinScheduler < 3.1.9
四、修复建议:
        目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
        https://github.com/apache/dolphinscheduler/releases


2 Apache OpenOffice 宏脚本执行(CVE-2023-47804)
一、漏洞描述:
        openoffice.jpg
        Apache OpenOffice是一个开源的办公软件套件,包含了文字处理、电子表格、演示文稿、绘图、公式编辑和数据库管理等应用。
        Apache OpenOffice文档中可以包含用于调用具有任意参数的内部宏链接,基于此目的其实现了多个URI伪协议,预期情况下链接可以通过点击或自动化的文档事件触发,链接的执行必须经过用户同意。

二、风险等级:
        高危
三、影响范围:
        OpenOffice < 4.1.15
四、修复建议:
        目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
        https://www.openoffice.org/download/index.html


3 Ansible路径遍历漏洞(CVE-2023-5115)
一、漏洞描述:
        Ansible.jpg
        Ansible是一款基于Python的自动化运维工具,可以实现批量系统配置、批量程序部署、批量运行命令等功能。
        威胁者可制作恶意 Ansible 角色存档并诱导受害者执行,通过符号链接攻击覆盖提取路径之外的文件。当使用“ansible-galaxy role install”安装恶意创建的 Ansible 角色时,用户可访问的任意文件可能会被覆盖。

二、风险等级:
        高危
三、影响范围:
        Ansible版本< 2.14.11
        Ansible版本< 2.15.5
        Ansible版本< 2.16.0

四、修复建议:
        目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
        https://github.com/ansible/ansible/releases


4 WordPress Plugin affiliate-toolkit 安全漏洞(CVE-2023-5877)
一、漏洞描述:
        WordPress.jpg
        WordPress和WordPress plugin都是WordPress基金会的产品。WordPress是一套使用PHP语言开发的博客平台。该平台支持在PHP和MySQL的服务器上架设个人博客网站。
        WordPress plugin是一个应用插件。WordPress Plugin affiliate-toolkit 3.4.3 版本之前存在安全漏洞,该漏洞源于缺乏对某些url请求的授权和身份验证,可能导致服务器请求伪造问题。

二、风险等级:
        高危
三、影响范围:
        WordPress Plugin affiliate-toolkit < 3.4.3
四、修复建议:
        目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
        https://wpscan.com/vulnerability ... 4-8acc-25759fef9e81


您需要登录后才可以回帖 登录 | 注册创意安天

本版积分规则

Archiver|手机版|小黑屋|创意安天 ( 京ICP备09068574,ICP证100468号。 )

GMT+8, 2024-12-26 21:31

Powered by Discuz! X3.5

© 2001-2024 Discuz! Team.

快速回复 返回顶部 返回列表