雷神众测漏洞周报2023.05.29-2023.06.04
2023-6-5 15:1:29 Author: 雷神众测(查看原文) 阅读量:21 收藏

摘要

以下内容,均摘自于互联网,由于传播,利用此文所提供的信息而造成的任何直接或间接的后果和损失,均由使用者本人负责,雷神众测以及文章作者不承担任何责任。

雷神众测拥有该文章的修改和解释权。如欲转载或传播此文章,必须保证此文章的副本,包括版权声明等全部内容。声明雷神众测允许,不得任意修改或增减此文章内容,不得以任何方式将其用于商业目的。

目录

1.Apache RocketMQ 远程代码执行漏洞

2.Schneider Electric IGSS Data Server alarm data缓冲区溢出漏洞

3.Apache InLong代码执行漏洞

4.IBM WebSphere Application Server实体注入漏洞

漏洞详情

1.Apache RocketMQ 远程代码执行漏洞

漏洞介绍:

RocketMQ是一个分布式消息和流数据平台,具有低延迟、高性能、高可靠性、万亿级容量和灵活的可扩展性。

漏洞危害:

该漏洞存在于Apache RocketMQ中,是一个远程命令执行漏洞。RocketMQ的NameServer、Broker、Controller等多个组件缺乏权限验证,攻击者可以利用该漏洞利用更新配置功能以RocketMQ运行的系统用户身份执行命令。此外,攻击者可以通过伪造 RocketMQ 协议内容来达到同样的效果。

漏洞编号:

CVE-2023-33246

影响范围:

RocketMQ <= 5.1.0

RocketMQ <= 4.9.5

修复方案:

及时测试并升级到最新版本或升级版本

来源:360CERT

2.Schneider Electric IGSS Data Server alarm data缓冲区溢出漏洞

漏洞介绍:

Schneider Electric Igss Data Server是法国施耐德电气(Schneider Electric)公司的一个交互式图形Scada系统的数据服务器。

漏洞危害:

Schneider Electric IGSS Data Server 15.0.0.22140之前版本存在缓冲区溢出漏洞,该漏洞源于在处理不受信任的输入时出现边界错误。攻击者可利用该漏洞发送特制的alarm data消息,触发内存破坏并在目标系统上执行任意代码。

漏洞编号:

CVE-2022-32525

影响范围:

Schneider Electric IGSS Data Server <15.0.0.22140

修复建议:

及时测试并升级到最新版本或升级版本。

来源:CNVD

3.Apache InLong代码执行漏洞

漏洞介绍:

Apache InLong是美国阿帕奇(Apache)基金会的一站式的海量数据集成框架。

漏洞危害:

Apache InLong 1.4.0版本至1.6.0版本存在代码执行漏洞,攻击者可利用该漏洞在系统上执行任意代码。

漏洞编号:

CVE-2023-31058

影响范围:

Apache InLong >=1.4.0,<=1.6.0

修复方案:

时测试并升级到最新版本或升级版本。

来源:CNVD

4.IBM WebSphere Application Server实体注入漏洞

漏洞介绍:

IBM WebSphere Application Server是一款应用服务器产品。该产品是JavaEE和Web服务应用程序的平台,也是IBM WebSphere软件平台的基础。

漏洞危害:

IBM WebSphere Application Server存在实体注入漏洞。该漏洞是由于受影响版本在处理XML数据时易受XML外部实体注入(XXE)攻击。远程攻击者可以利用该漏洞暴露敏感信息或消耗内存资源。

漏洞编号:

CVE-2023-27554

影响范围:

IBM WebSphere Application Server >=8.5.0.0,<8.5.5.24

IBM WebSphere Application Server >=9.0.0.0,<9.0.5.16

修复方案:

及时测试并升级到最新版本或升级版本。

来源:CNVD

专注渗透测试技术

全球最新网络攻击技术

END


文章来源: http://mp.weixin.qq.com/s?__biz=MzI0NzEwOTM0MA==&mid=2652502060&idx=1&sn=6929690d91581f8ab424c0004fea7d22&chksm=f2585b9fc52fd2890680143756ddb1b883c4b4e5cce096f91a49a6d0c21c2a5de33d0bae3396#rd
如有侵权请联系:admin#unsafe.sh