腾讯安全威胁情报中心推出2023年12月必修安全漏洞清单

腾讯安全近期监测到Apache官方发布了关于OFBiz的风险公告，漏洞编号为TVD-2023-28231（CVE编号：CVE-2023-51467，CNNVD编号：CNNVD-202312-2291)。成功利用此漏洞的攻击者，最终可远程在目标系统上执行任意代码。

Apache OFBiz是一个开源的企业资源计划（ERP）系统，由Apache软件基金会开发和维护。它提供了一套全面的业务解决方案，包括电子商务，客户关系管理，仓库管理，订单管理，库存管理等功能。OFBiz的强大之处在于其高度的可定制性和扩展性，可以根据企业的具体需求进行定制和扩展，满足各种复杂的业务场景。

if (username == null || (password == null && token==null)

USERNAME=&PASSWORD=s&requirePasswordChange=Y

来绕过权限认证，进而执行Grovvy命令，最终实现远程代码执行。

风险等级：

影响版本：

Apache OFBiz < 18.12.11

修复建议：

【备注】：建议您在升级前做好数据备份工作，避免出现意外。

https://ofbiz.apache.org/download.html

在不影响业务的情况下配置访问控制策略，避免/webtools/control/ProgramExport接口暴露至公网。

漏洞利用可能性变化趋势：

- 2024.1.3号，漏洞PoC和EXP公开

腾讯安全近期监测到Apache官方发布了关于OFBiz的风险公告，漏洞编号为TVD-2023-26330(CVE编号：CVE-2023-49070, CNNVD编号: CNNVD-202312-425)。成功利用此漏洞的攻击者，最终可远程在目标系统上执行任意代码。

据描述，该漏洞源于OFBiz使用了有反序列化漏洞且不再维护的的XML-RPC组件，攻击者可以通过精心构造的请求从而绕过针对/control/xmlrpc的接口过滤限制，使用 Apache XMLRPC 客户端库的应用程序权限执行任意代码。

漏洞状态：

风险等级：

影响版本：

Apache OFBiz < 18.12.10

1. 官方已发布漏洞补丁及修复版本，请评估业务是否受影响后，酌情升级至安全版本。

【备注】：建议您在升级前做好数据备份工作，避免出现意外。

https://ofbiz.apache.org/download.html

- 在不影响正常系统功能和业务的前提下，禁用xmlrpc接口。

- 限制xmlrpc接口访问，避免将该接口开放至公网。

腾讯安全近期监测到Apache官方发布了关于OFBiz的风险公告，漏洞编号为TVD-2023-28224(CVE编号：CVE-2023-50968，CNNVD编号：CNNVD-202312-2286)。成功利用此漏洞的攻击者，最终可远程在目标系统上执行任意代码。

if (username == null || (password == null && token==null)

USERNAME=&PASSWORD=s&requirePasswordChange=Y

绕过权限认证，随后向webtools/control/getJSONuiLabelArray接口发送特制请求，最终读取配置文件或进行服务器端请求伪造（SSRF）攻击。

漏洞状态：

风险等级：

影响版本：

Apache OFBiz < 18.12.11

修复建议：

1. 官方已发布漏洞补丁及修复版本，请评估业务是否受影响后，酌情升级至安全版本。

- 在不影响业务的情况下配置访问控制策略，避免/webtools/control/getJSONuiLabelArray接口暴露至公网。

概述：

腾讯安全近期监测到Apache 官方发布了关于Struts的风险公告，漏洞编号为TVD-2023-26445(CVE编号：CVE-2023-50164，CNNVD编号：CNNVD-202312-546)。成功利用此漏洞的攻击者，最终可远程在目标系统上执行任意代码。

Struts是一个流行的开源Java Web应用框架，由Apache软件基金会开发和维护。它采用MVC（模型-视图-控制器）设计模式，帮助开发者更轻松地构建可扩展、可维护的Web应用程序。Struts2提供了丰富的标签库、拦截器和插件等功能，以便于开发者实现各种Web应用需求，同时降低了开发复杂度和提高了代码重用性。

据描述，该漏洞源于Struts文件上传逻辑存在缺陷，攻击者可以利用该漏洞进行路径遍历，从而上传恶意文件到服务器的任意位置，最终导致远程命令执行。

6.0.0 <= Apache Struts < 6.3.0.2

1. 官方已发布漏洞补丁及修复版本，请评估业务是否受影响后，酌情升级至安全版本。

https://struts.apache.org/download.cgi

- 避免将无需授权的文件上传路径暴露至公网。

- 在文件上传位置集成一个拦截器，对上传的文件进行验证。

概述：

腾讯安全近期监测到Atlassian官方发布了关于Confluence Data Center and Confluence Server的风险公告，漏洞编号为TVD-2023-26385(CVE编号：CVE-2023-22522，CNNVD编号：CNNVD-202312-479)。成功利用此漏洞的攻击者，最终可远程在目标系统上执行任意代码。

Confluence是一款由Atlassian公司开发的企业级协作软件，它提供了一个集中式的平台，让团队成员能够共享知识、创建、编辑和协作文档。Confluence具有强大的页面编辑器、模板功能和丰富的插件，可以帮助企业实现高效的项目管理、知识库维护和团队协作，提高整体生产力。

据描述，Confluence Data Center and Server受影响版本中存在模版注入漏洞，允许经过身份验证的攻击者（包括具有匿名访问权限的攻击者）将恶意代码注入到 Confluence中，最终实现远程代码执行。

漏洞状态：

风险等级：

影响版本：

4.0.0 <= Confluence Data Center and Server < 7.19.7

8.0.0 <= Confluence Data Center and Server < 8.4.5

8.5.0 <= Confluence Data Center and Server < 8.5.4

8.6.0 <= Confluence Data Center < 8.6.2

修复建议：

1. 官方已发布漏洞补丁及修复版本，请评估业务是否受影响后，酌情升级至安全版本。

【备注】：建议您在升级前做好数据备份工作，避免出现意外。

https://confluence.atlassian.com/security/cve-2023-22522-rce-vulnerability-in-confluence-data-center-and-confluence-server-1319570362.html

- 通过网络ACL策略限制访问来源，将实例设置为不允许匿名访问。

- 不将实例暴露至公网。

注意：如Confluence 站点托管在Atlassian Cloud(域名为atlassian.net)，则不受此漏洞影响。

概述：

腾讯安全近期监测到Apache 官方发布了关于Dubbo的风险公告，漏洞编号为TVD-2023-27254(CVE编号：CVE-2023-29234，CNNVD编号：CNNVD-202312-1524)。成功利用此漏洞的攻击者，最终可远程在目标系统上执行任意代码。

Dubbo是一款开源的高性能、轻量级的分布式服务框架，主要用于Java应用程序。它提供了一种简单、高效的远程过程调用（RPC）机制，支持负载均衡、容错和服务治理等功能，帮助开发者轻松构建和管理大规模的微服务架构。Dubbo通过对服务提供者和消费者的解耦，实现了服务的动态发现和调用，从而提高了系统的可扩展性和可维护性。

据描述，该漏洞源于ObjectInput.java中的readThrowable 方法在处理异常时对反序列化后的对象进行了字符串拼接操作，导致会隐式调用对象的toString方法，攻击者从而利用该特性执行任意代码。

漏洞状态：

风险等级：

3.1.0 <= Apache Dubbo <= 3.1.10

3.2.0 <= Apache Dubbo <= 3.2.4

修复建议：

1. 官方已发布漏洞补丁及修复版本，请评估业务是否受影响后，酌情升级至安全版本。

【备注】：建议您在升级前做好数据备份工作，避免出现意外。

https://github.com/apache/dubbo/releases

* 以上漏洞的修复建议，由安全专家审核并融合了AI生成的建议。

* 漏洞评分为腾讯安全研究人员根据漏洞情况作出，仅供参考，具体漏洞细节请以原厂商或是相关漏洞平台公示为准。

往期企业必修漏洞清单