30
2023-06
【漏洞通告】盘点近日重点漏洞
欢迎来到安洽科技的公众号,我们致力于为用户提供最全面、最及时的安全风险提示和解决方案。每月我们会给您推送最新的安全风险提醒,帮助您更好地保护自己和企业。 在这里,您将了解到各种网络安全问题,并获得专业人士的建议和指导。无论是针对个人还是企业,我们都有适合您的解决方案。 感谢您的关注,安洽科技您身边的安全专家!01Openfire管理控制台认证绕过漏洞 Openfire的API定义了一种机制,允许使用通配符实现灵活的URL模式匹配以将某些URL从Web认证中排除。并且由于Openfire使用到的Web服务器支持解析非标准的UTF-16字符URL编码变体,导致了路径遍历漏洞。通配符模式匹配与路径遍历漏洞的组合可以使攻击者绕过认证访问后台管理控制台,最终通过后台上传恶意插件能够实现远程代码执行,完全地控制服务器权限。 漏洞编号:CVE-2023-32315 漏洞等级:高危=Apache Kafka 影响版本: =3.10.0, 4.6.8 =4.7.0, 4.7.5 修复建议: 受影响用户请尽快升级到安全版本。 02 VMware vCenter Server =Apache Kafka VMware vCenter Server是一种虚拟化管理软件,它可以帮助企业管理和监控虚拟化基础架构。它提供了一个集中的管理界面,可以用来管理和监控多个VMware虚拟化主机和虚拟机,同时提供了高级功能,如自动化、负载均衡和高可用性。 漏洞编号:CVE-2023-20892、CVE-2023-20893、CVE-2023-20894、CVE-2023-20895、CVE-2023-20896 漏洞等级:高危 影响版本: 8.0≤VMware vCenter Server8.0U1b, 7.0≤VMware vCenter Server7.0U3m 修复建议: 当前官方已发布最新版本,建议受影响的用户及时更新升级到最新版本。链接如下: https:www.vmware.comsecurityadvisoriesVMSA-2023-0014.html03 Grafana 身份认证绕过漏洞 Grafana是一款开源的数据可视化和监控平台,它可以帮助用户通过各种数据源创建和共享交互式、可定制的仪表盘和报表。主要用于监控和分析Graphite、InfluxDB和Prometheus等。 该漏洞是由于Grafana和AzureAD配置文件的电子邮件字段不是唯一的,容易被修改。攻击者可在未授权的情况下,利用该漏洞构造恶意数据,执行身份认证绕过攻击,最终接管受影响的Grafana账户 漏洞编号:CVE-2023-3128 漏洞等级:高危 影响版本: 10.0.0 = Grafana 10.0.1, 9.5.0 = Grafana 9.5.5, 9.4.0 = Grafana 9.4.13, 9.3.0 = Grafana 9.3.16, 9.2.0 = Grafana 9.2.20, 6.7.0 = Grafana 8.5.27 修复建议: 当前官方已发布最新版本,建议受影响的用户及时更新升级到最新版本。链接如下:https:grafana.comgrafanadownload04 Smartbi存在身份认证绕过漏洞 =2.7.0,=3.0.0,=3.1.0, Smartbi是一种数据分析和可视化工具,用于帮助企业和组织从海量数据中提取有用的信息,做出更明智的决策。Smartbi提供了丰富的数据分析和报告功能,使用户能够快速、直观地理解和探索数据。它支持多种数据源的连接,包括关系型数据库、大数据平台、云服务等,以获取数据并进行分析。 漏洞编号:无 漏洞等级:高危 影响版本: Smartbi 7,Smartbi 10 修复建议: 受影响用户请尽快升级到安全版本05 Linux Kernel 权限提升漏洞 Linux是一种开源电脑操作系统内核。它是一个用C语言写成,符合POSIX标准的类Unix操作系统。Linux Kernel是一种开源的类Unix操作系统宏内核。该漏洞存在于Linux Kernel中,是一个权限提升漏洞。Linux 内核流量控制索引过滤器 tcindex 中存在释放后使用漏洞,由于tcindex_delete 函数在某些情况下无法正确停用过滤器,同时删除底层结构,可能会导致双重释放该结构,本地低权限用户可利用该漏洞将其权限提升为 root。 漏洞编号:CVE-2023-1829 漏洞等级:高危 影响版本: = 2.6.12-rc2 , 6.3 修复建议 及时测试并升级到最新版本或升级版本。06 D-link DIR-600 命令注入漏洞 关于Google Chrome,待更新包下载成功后重写启动浏览器。,marks:[]}]}],state:{}},{type:block,id:H5Uo-1682042995047,name:paragraph,data:{style:null,version:1},nodes:[{type:text,id:nIfd-1682042995046,leaves:[{text:方式二:手动下载112.0.5615.121或更高版本的Google Chrome并安装,下载链接:,marks:[]}]}],state:{}},{type:block,id:DeGh-1682042995049,name:paragraph,data:{style:{},version:1},nodes:[{type:inline,id:vnfg-1682042995035,name:link,data:{href:https:www.google.comchrome,style:null},nodes:[{type:text,id:0XyY-1682042995048,leaves:[{text:https:www.google.comchrome,marks:[]}]}]},{type:text,id:2hEX-1682042995050,leaves:[{text:,marks:[]}]}],state:{}}]" D-Link DIR-600是中国友讯(D-Link)公司的一款无线路由器。 该漏洞源于lxmldbc_system函数中的ST参数未能正确过滤构造命令特殊字符、命令等。攻击者可利用此漏洞导致任意命令执行。 漏洞编号:CVE-2023-33625 漏洞等级:高危 影响版本: DLink DIR-600 2.18 修复建议 及时测试并升级到最新版本或升级版本。07 Google Chrome V8 类型混淆漏洞 =5.7.42,marks:[]}]}],state:{}},{type:block,id:aUn3-1682043096488,name:paragraph,data:{style:null,version:1},nodes:[{type:text,id:fKeL-1682043096487,leaves:[{text:MySQL Server=8.0.31,marks:[]}]}],state:{}},{type:block,id:69cO-1682043096490,name:paragraph,data:{style:null,version:1},nodes:[{type:text,id:rWWq-1682043096489,leaves:[{text:下载连接:,marks:[]}]}],state:{}},{type:block,id:qrvf-1682043096491,name:paragraph,data:{style:null,version:1},nodes:[{type:text,id:Df6f-1682043096464,leaves:[{text:,marks:[]}]},{type:inline,id:74Rd-1682043096466,name:link,data:{href:https:www.mysql.comcndownloads},nodes:[{type:text,id:m0jR-1682043096465,leaves:[{text:https:www.mysql.comcndownloads,marks:[]}]}]},{type:text,id:9Bxr-1682043096469,leaves:[{text:,marks:[]}]}],state:{}},{type:block,id:JDhS-1682043096494,name:paragraph,data:{style:null,version:1},nodes:[{type:text,id:hyOA-1682043096492,leaves:[{text:与此同时,请做好资产自查以及预防工作,以免遭受黑客攻击。,marks:[]}]}],state:{}}]" 该漏洞为Chrome V8 JavaScript 引擎中的类型混淆漏洞,此类漏洞通常会读取或写入超出缓冲区边界的内存,导致浏览器崩溃或任意代码执行。 漏洞编号:CVE-2023-3420 漏洞等级:高危 影响版本: Chrome for Windows114.0.5735.198 Chrome for Windows114.0.5735.199 Chrome for Mac and Linux114.0.5735.198 修复建议: 用户可更新到以下版本: Google Chrome(Windows)版本:=114.0.5735.198199 Google Chrome(MacLinux)版本:=114.0.5735.198 下载链接: https:www.google.cnchrome 编辑:有志青年、绅士风度安若泰山 洽融无疆
MORE