漏洞风险提示（20240104）

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 Perl for Windows 远程代码执行漏洞(CVE-2023-47039)
一、漏洞描述：
       
        Perl 是高级、通用、直译式、动态的程序语言。Perl 在 5.32.1 版本之前存在远程代码执行漏洞。
        该安全问题发生在 Perl for Windows 依赖系统路径环境变量查找 shell (cmd.exe) 时。在运行使用 Windows Perl 解释器的可执行文件时，Perl 会尝试在操作系统中查找并执行 cmd.exe。然而，由于路径搜索顺序问题，Perl 最初是在当前工作目录中查找 cmd.exe。此漏洞允许权限有限的攻击者将 cmd.exe 放在权限较弱的位置，如 C:\ProgramData。这样，当管理员试图从这些受影响的位置使用此可执行文件时，就可以执行任意代码。
二、风险等级：
        高危
三、影响范围：
        Perl < 5.32.1
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://www.perl.org/get.html

---

2 通达OA delete.php sql注入漏洞(CVE-2023-7180)
一、漏洞描述：
       
        通达OA是一款协同办公自动化软件，由北京通达信科科技有限公司自主研发，为各行业不同规模的众多用户提供信息化管理能力。
        通达 OA 2017版本11.9及以下在文件general/project/proj/delete.php参数PROJ_ID_STR可导致SQL注入。
二、风险等级：
        高危
三、影响范围：
        通达OA <= 11.9
        通达OA 2017
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://www.tongda2000.com/

---

3 Google Pixel Watch 安全漏洞(CVE-2023-48418)
一、漏洞描述：
       
        Google Pixel Watch是美国谷歌（Google）公司的一款持久耐用的智能手表。
        Google Pixel Watch存在安全漏洞，该漏洞源于不安全的默认值，可能会导致本地权限升级。
二、风险等级：
        高危
三、影响范围：
        Google Pixel Watch
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://source.android.com/docs/ ... tch/2023/2023-12-01

---

4 PrestaShop 输入验证错误漏洞(CVE-2024-21627)
一、漏洞描述：
       
        PrestaShop是美国PrestaShop公司的一套开源的电子商务解决方案。该方案提供多种支付方式、短消息提醒和商品图片缩放等功能。
        PrestaShop 8.1.3之前版本存在输入验证错误漏洞，该漏洞源于“isCleanHTML”方法无法检测到某些事件属性。攻击者利用该漏洞执行跨站点脚本攻击。
二、风险等级：
        高危
三、影响范围：
        PrestaShop < 8.1.3
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://github.com/PrestaShop/Pr ... 526a894fe884dd12129

---