30
2023 - 06
【漏洞通告】盘点近日重点漏洞
来源:安洽科技
欢迎来到安洽科技的公众号,我们致力于为用户提供最全面、最及时的安全风险提示和解决方案。每月我们会给您推送最新的安全风险提醒,帮助您更好地保护自己和企业。
在这里,您将了解到各种网络安全问题,并获得专业人士的建议和指导。无论是针对个人还是企业,我们都有适合您的解决方案。
感谢您的关注,安洽科技您身边的安全专家!
Openfire的API定义了一种机制,允许使用通配符实现灵活的URL模式匹配以将某些URL从Web认证中排除。并且由于Openfire使用到的Web服务器支持解析非标准的UTF-16字符URL编码变体,导致了路径遍历漏洞。通配符模式匹配与路径遍历漏洞的组合可以使攻击者绕过认证访问后台管理控制台,最终通过后台上传恶意插件能够实现远程代码执行,完全地控制服务器权限。
漏洞编号:CVE-2023-32315
漏洞等级:高危
影响版本:
>=3.10.0, <4.6.8
>=4.7.0, <4.7.5
修复建议:
受影响用户请尽快升级到安全版本。
VMware vCenter Server是一种虚拟化管理软件,它可以帮助企业管理和监控虚拟化基础架构。它提供了一个集中的管理界面,可以用来管理和监控多个VMware虚拟化主机和虚拟机,同时提供了高级功能,如自动化、负载均衡和高可用性。
漏洞编号:CVE-2023-20892、CVE-2023-20893、CVE-2023-20894、CVE-2023-20895、CVE-2023-20896
漏洞等级:高危
影响版本:
8.0≤VMware vCenter Server<8.0U1b,
7.0≤VMware vCenter Server<7.0U3m
修复建议:
当前官方已发布最新版本,建议受影响的用户及时更新升级到最新版本。链接如下:
https://www.vmware.com/security/advisories/VMSA-2023-0014.html
Grafana是一款开源的数据可视化和监控平台,它可以帮助用户通过各种数据源创建和共享交互式、可定制的仪表盘和报表。主要用于监控和分析Graphite、InfluxDB和Prometheus等。
该漏洞是由于Grafana和AzureAD配置文件的电子邮件字段不是唯一的,容易被修改。攻击者可在未授权的情况下,利用该漏洞构造恶意数据,执行身份认证绕过攻击,最终接管受影响的Grafana账户
漏洞编号:CVE-2023-3128
漏洞等级:高危
影响版本:
10.0.0 <= Grafana < 10.0.1,
9.5.0 <= Grafana < 9.5.5,
9.4.0 <= Grafana < 9.4.13,
9.3.0 <= Grafana < 9.3.16,
9.2.0 <= Grafana < 9.2.20,
6.7.0 <= Grafana < 8.5.27
修复建议:
当前官方已发布最新版本,建议受影响的用户及时更新升级到最新版本。链接如下:https://grafana.com/grafana/download
Smartbi是一种数据分析和可视化工具,用于帮助企业和组织从海量数据中提取有用的信息,做出更明智的决策。Smartbi提供了丰富的数据分析和报告功能,使用户能够快速、直观地理解和探索数据。它支持多种数据源的连接,包括关系型数据库、大数据平台、云服务等,以获取数据并进行分析。
漏洞编号:无
漏洞等级:高危
影响版本:
Smartbi 7,Smartbi 10
修复建议:
受影响用户请尽快升级到安全版本
Linux是一种开源电脑操作系统内核。它是一个用C语言写成,符合POSIX标准的类Unix操作系统。Linux Kernel是一种开源的类Unix操作系统宏内核。该漏洞存在于Linux Kernel中,是一个权限提升漏洞。Linux 内核流量控制索引过滤器 (tcindex) 中存在释放后使用漏洞,由于tcindex_delete 函数在某些情况下无法正确停用过滤器,同时删除底层结构,可能会导致双重释放该结构,本地低权限用户可利用该漏洞将其权限提升为 root。
漏洞编号:CVE-2023-1829
漏洞等级:高危
影响版本:
>= 2.6.12-rc2 , < 6.3
修复建议
及时测试并升级到最新版本或升级版本。
D-Link DIR-600是中国友讯(D-Link)公司的一款无线路由器。
该漏洞源于lxmldbc_system()函数中的ST参数未能正确过滤构造命令特殊字符、命令等。攻击者可利用此漏洞导致任意命令执行。
漏洞编号:CVE-2023-33625
漏洞等级:高危
影响版本:
DLink DIR-600 2.18
修复建议
及时测试并升级到最新版本或升级版本。
该漏洞为Chrome V8 JavaScript 引擎中的类型混淆漏洞,此类漏洞通常会读取或写入超出缓冲区边界的内存,导致浏览器崩溃或任意代码执行。
漏洞编号:CVE-2023-3420
漏洞等级:高危
影响版本:
Chrome for Windows<114.0.5735.198
Chrome for Windows<114.0.5735.199
Chrome for Mac and Linux<114.0.5735.198
修复建议:
用户可更新到以下版本:
Google Chrome(Windows)版本:>= 114.0.5735.198/199
Google Chrome(Mac/Linux)版本:>= 114.0.5735.198
下载链接:
https://www.google.cn/chrome/
联系电话:400-006-9660
联系邮箱:service@anqia.com
公司地址:山西综改示范区太原学府园区东渠路西二巷6号智创城A座1711室
