华云安漏洞安全周报【第169期】

威胁等级：高危

漏洞描述：

2024年01月08日，华云安思境安全团队监测发现 ManageEngine OpManager 官方发布安全通告，披露了 ZOHO ManageEngine OpManager 12.7.258 版本存在路径遍历漏洞。ZOHO ManageEngine OpManager 是一个网络监控工具，可以对网络设备、服务器、链路、系统等的性能进行全面的监控，保障网络正常。这个漏洞涉及到uploadMib功能中的目录遍历漏洞，攻击者可能利用这个漏洞通过发送特制的HTTP请求来创建任意文件。

情报来源：

https://www.manageengine.com/itom/advisory/cve-2023-47211.html 

威胁等级：超危

漏洞描述：

2024年01月10日，华云安思境安全团队监测发现 PrestaShop 官方发布安全通告，披露了 PrestaShow Google Integrator 2.1.4 之前版本存在 SQL 注入漏洞。PrestaShop 是一款多功能、跨平台的开源电子商务解决方案，可提供多种支付方式、商品图片缩放、短消息提醒等功能。攻击者可能利用该漏洞通过在 cookie 中插入命令来提取和修改数据。

情报来源：

https://prestashow.pl/pl/moduly-prestashop/28-prestashop-google-integrator-ga4-gtm-ads-remarketing.html 

威胁等级：超危

漏洞描述：

2024年01月11日，华云安思境安全团队监测发现 Microsoft 官方发布安全更新，此次安全更新发布了48个漏洞补丁，其中包含2个严重漏洞，46个高危漏洞。主要覆盖了以下组件：Microsoft Windows and Windows Components; Office and Office Components; Azure; .NET Framework and Visual Studio; SQL Server; Windows Hyper-V; and Internet Explorer等。漏洞影响范围较广，华云安建议相关用户做好资产自查与预防工作。

情报来源：

https://msrc.microsoft.com/update-guide/releaseNote/2024-jan 

威胁等级：高危

漏洞描述：

2024年01月12日，华云安思境安全团队监测到 Redis 官方发布安全通告，披露了 Redis 7.0.9 版本和 7.2.4 之前的7.2.x 版本存在安全漏洞。Redis Labs Redis 是一套开源的数据库，使用 ANSI C 编写、支持网络、可基于内存亦可持久化的日志型、键值（Key-Value）存储数据库，并提供多种语言的 API 。这个漏洞是由于 Redis 在处理内存缓冲区时可能存在的错误所导致的。当 Redis 在某些情况下处理内存缓冲区时，如果缓冲区的大小不正确，可能会导致堆溢出，进而可能允许远程代码执行。

情报来源：

https://github.com/redis/redis/commit/e351099e1119fb89496be578f5232c61ce300224