雷神众测漏洞周报2023.03.27-2023.04.02
2023-4-3 16:24:36 Author: 雷神众测(查看原文) 阅读量:22 收藏

以下内容,均摘自于互联网,由于传播,利用此文所提供的信息而造成的任何直接或间接的后果和损失,均由使用者本人负责,雷神众测以及文章作者不承担任何责任。

雷神众测拥有该文章的修改和解释权。如欲转载或传播此文章,必须保证此文章的副本,包括版权声明等全部内容。声明雷神众测允许,不得任意修改或增减此文章内容,不得以任何方式将其用于商业目的。

目录

1.Sudo权限提升漏洞

2.IBM Aspera XML外部实体注入漏洞

3.3CXDesktop App 代码执行漏洞

4.Apache Fineract SQL注入漏洞

漏洞详情

1.Sudo权限提升漏洞

漏洞介绍:

Linux 中的 Sudo命令可以以系统管理者的身份执行指令。

漏洞危害:

该漏洞存在于Sudo版本1.8.0 - 1.9.12p1中,是一个权限提升漏洞。Sudo 的 -e 功能(又名sudoedit)功能对用户提供的环境变量(SUDO_EDITOR、VISUAL和EDITOR)中传递的额外参数处理不当,具有sudoedit访问权限的本地用户可以通过设置精心构造的环境变量组合来触发该漏洞,实现以错误配置的sudoedit的提升到的用户相同的权限来编辑任意文件。

漏洞编号:

CVE-2023-22809

影响范围:

sudo 1.8.0-1.9.12p1 

修复方案:

及时测试并升级到最新版本或升级版本。

来源:360CERT

2.IBM Aspera XML外部实体注入漏洞

漏洞介绍:

IBM Aspera是美国国际商业机器(IBM)公司的一套基于IBM FASP协议构建的快速文件传输和流解决方案。

漏洞危害:

IBM Aspera Faspex 4.4.2版本存在XML外部实体注入漏洞,该漏洞源于在处理XML数据时未设置正确的过滤允许引用外部实体。攻击者利用该漏洞可以执行任意命令。

漏洞编号:

CVE-2023-27874

影响范围:

IBM Aspera Faspex 4.4.2

修复方案:

及时测试并升级到最新版本或升级版本。

来源:

CNVD

3. 3CXDesktop App 代码执行漏洞

漏洞介绍:

3CXDesktop App 是一款跨平台桌面电话应用程序,适用于Linux、MacOS 和 Windows。3CXDesktop 允许用户通过聊天、消息、视频和语音进行交互。

漏洞危害:

3CXDesktop 的部分代码仓库遭到恶意攻击,上传了带有恶意的源代码,导致3CXDesktop App 部分版本运行安装程序时,内嵌了攻击者特制的恶意代码,在程序安装过程中会执行恶意代码,并进一步下载恶意负载到目标环境中执行。

漏洞编号:

CVE-2023-29059

影响范围:

3CX:Mac 3CXDesktop App 18.11.1213,18.12.402,18.12.407,18.12.416 

3CX:Windows 3CXDesktop App 18.12.407,18.12.416

修复建议:

及时测试并升级到最新版本或升级版本。

来源:360CERT

4.Apache Fineract SQL注入漏洞

漏洞介绍:

Apache Fineract是用于金融服务的开源软件,旨在实现金融机构强大、可扩展和安全的运营。

漏洞危害:

Apache Fineract 版本1.4 - 1.8.2中存在SQL注入漏洞,授权用户可利用该漏洞更改或添加某些组件中的数据。

漏洞编号:

CVE-2023-25196

影响范围:

Apache Fineract版本:1.4 - 1.8.2

修复建议:

及时测试并升级到最新版本。

来源:启明星辰VSRC

专注渗透测试技术

全球最新网络攻击技术

END


文章来源: http://mp.weixin.qq.com/s?__biz=MzI0NzEwOTM0MA==&mid=2652501821&idx=1&sn=bac6ecfce0b0aee5d764550b202e6d50&chksm=f258548ec52fdd98d31367888d4ad1de972ddcaaf8b30beba92b38d5313f724253b2bb13562f#rd
如有侵权请联系:admin#unsafe.sh