正文

雷神众测漏洞周报2023.10.09-2023.10.15

admin
admin V管理员 /0 评论 /152 阅读
1016
此篇文章发布距今已超过390天,您需要注意文章的内容或图片是否可用!

声明

以下内容,均摘自于互联网,由于传播,利用此文所提供的信息而造成的任何直接或间接的后果和损失,均由使用者本人负责,雷神众测以及文章作者不承担任何责任。

雷神众测拥有该文章的修改和解释权。如欲转载或传播此文章,必须保证此文章的副本,包括版权声明等全部内容。声明雷神众测允许,不得任意修改或增减此文章内容,不得以任何方式将其用于商业目的。


目录

1.Atlassian Confluence 权限提升漏洞

2.用友网络科技股份有限公司NC Cloud存在远程命令执行漏洞

3.浙江大华技术股份有限公司智慧园区综合管理平台存在SQL注入漏洞

4.F5 BIG-IP iControl安全绕过漏洞


漏洞详情

1.Atlassian Confluence 权限提升漏洞


漏洞介绍:

Confluence是一个专业的企业知识管理与协同软件,也可以用于构建企业wiki。使用简单,它强大的编辑和站点管理特征能够帮助团队成员之间共享信息、文档协作、集体讨论,信息推送。


漏洞危害:

Atlassian收到客户报告的一个问题,即攻击者可以利用有访问权限的Confluence Data Center and Server实例漏洞在未授权的情况下创建Confluence管理员用户并以管理员权限进入Confluence后台。


漏洞编号:

CVE-2023-22515


影响范围:

Atlassian Confluence 8.0.0

Atlassian Confluence 8.0.1

Atlassian Confluence 8.0.2

Atlassian Confluence 8.0.3

Atlassian Confluence 8.0.4

Atlassian Confluence 8.1.0

Atlassian Confluence 8.1.1

Atlassian Confluence 8.1.3

Atlassian Confluence 8.1.4

Atlassian Confluence 8.2.0

Atlassian Confluence 8.2.1

Atlassian Confluence 8.2.2

Atlassian Confluence 8.2.3

Atlassian Confluence 8.3.0

Atlassian Confluence 8.3.1

Atlassian Confluence 8.3.2

Atlassian Confluence 8.4.0

Atlassian Confluence 8.4.1

Atlassian Confluence 8.4.2

Atlassian Confluence 8.5.0

Atlassian Confluence 8.5.1


修复方案

官方修复方案:建议您更新当前系统或软件至最新版,完成漏洞的修复。


临时缓解方案:

1)修改 /<confluence-install-dir>/confluence/WEB-INF/web.xml 文件,并添加以下内容(就在文件末尾的 </web-app> 标签之前):

<security-constraint>

      <web-resource-collection>

        <url-pattern>/setup/*</url-pattern>

      <http-method-omission>*</http-method-omission>

    </web-resource-collection>

      <auth-constraint />

  </security-constraint>


2)重新启动 Confluence。


来源:安恒信息CERT

2.用友网络科技股份有限公司NC Cloud存在远程命令执行漏洞


漏洞介绍:

NC Cloud是一款大型企业数字化平台,深度应用新一代数字智能技术,完全基于云原生架构,打造开放、互联、融合、智能的一体化云平台。


漏洞危害:

用友网络科技股份有限公司NC Cloud存在远程命令执行漏洞,攻击者可利用漏洞通过构造恶意请求绕过校验进行远程命令执行,从而获取服务器权限。


影响范围:

用友网络科技股份有限公司 NC Cloud


修复方案:

及时测试并升级到最新版本或升级版本。


来源:CNVD

3. 浙江大华技术股份有限公司智慧园区综合管理平台存在SQL注入漏洞


漏洞介绍:

浙江大华技术股份有限公司,是全球领先的以视频为核心的智慧物联解决方案提供商和运营服务商。


漏洞危害:

浙江大华技术股份有限公司智慧园区综合管理平台存在SQL注入漏洞,攻击者可以利用漏洞获取数据库配置信息。


影响范围:

浙江大华技术股份有限公司 智慧园区综合管理平台


修复方案:

及时测试并升级到最新版本或升级版本


来源:CNVD


4. F5 BIG-IP iControl安全绕过漏洞


漏洞介绍:

F5 BIG-IP是F5公司的一款集成了网络流量编排、负载均衡、智能DNS,远程接入策略管理等功能的应用交付平台。


漏洞危害:

F5 BIG-IP iControl存在安全绕过漏洞,攻击者可利用该漏洞是BIP-IP非管理员用户仍然可以访问iControl REST管理员资源。


漏洞编号:

CVE-2023-42768


影响范围:

F5 BIG-IP (all modules) >=13.1.0,<=13.1.5

F5 BIG-IP (all modules) >=16.1.0,<=16.1.3

F5 BIG-IP (all modules) >=14.1.0,<=14.1.5

F5 BIG-IP (all modules) >=15.1.0,<=15.1.8


修复方案:

及时测试并升级到最新版本或升级版本


来源:CNVD



专注渗透测试技术

全球最新网络攻击技术


END



推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
宙飒天下网