雷神众测漏洞周报2023.06.19-2023.06.25
2023-6-26 15:36:12 Author: 雷神众测(查看原文) 阅读量:21 收藏

摘要

以下内容,均摘自于互联网,由于传播,利用此文所提供的信息而造成的任何直接或间接的后果和损失,均由使用者本人负责,雷神众测以及文章作者不承担任何责任。

雷神众测拥有该文章的修改和解释权。如欲转载或传播此文章,必须保证此文章的副本,包括版权声明等全部内容。声明雷神众测允许,不得任意修改或增减此文章内容,不得以任何方式将其用于商业目的。

目录

1、Smartbi存在身份认证绕过漏洞

2、Linux Kernel 权限提升漏洞

3、iKuai8命令注入漏洞

4、D-Link DIR-600命令注入漏洞

漏洞详情

1.Smartbi存在身份认证绕过漏洞

漏洞介绍:

Smartbi是一种数据分析和可视化工具,用于帮助企业和组织从海量数据中提取有用的信息,做出更明智的决策。Smartbi提供了丰富的数据分析和报告功能,使用户能够快速、直观地理解和探索数据。它支持多种数据源的连接,包括关系型数据库、大数据平台、云服务等,以获取数据并进行分析。

漏洞危害:

在特定情况下可绕过登陆校验,未经身份验证的攻击者通过该漏洞可获取系统中敏感信息。

影响范围:

[7,10]

修复方案:

及时测试并升级到最新版本或升级版本

来源:安恒信息CERT

2.Linux Kernel 权限提升漏洞

漏洞介绍:

Linux是一种开源电脑操作系统内核。它是一个用C语言写成,符合POSIX标准的类Unix操作系统。Linux Kernel是一种开源的类Unix操作系统宏内核。

漏洞危害:

该漏洞存在于Linux Kernel中,是一个权限提升漏洞。Linux 内核流量控制索引过滤器 (tcindex) 中存在释放后使用漏洞,由于tcindex_delete 函数在某些情况下无法正确停用过滤器,同时删除底层结构,可能会导致双重释放该结构,本地低权限用户可利用该漏洞将其权限提升为 root。

漏洞编号:

CVE-2023-1829

影响范围:

>= 2.6.12-rc2 , < 6.3

修复建议:

及时测试并升级到最新版本或升级版本。

来源:360CERT

3.iKuai8命令注入漏洞

漏洞介绍:

iKuai8是一个软路由工具。

漏洞危害:

iKuai8存在命令注入漏洞,该漏洞是由于iKuaiOS软路由系统中的错误引起的。攻击者可利用该漏洞在系统上执行任意命令。

漏洞编号:

CVE-2022-40469

影响范围:

ikuai8 iKuai8 v3.6.7

修复方案:

时测试并升级到最新版本或升级版本。

来源:CNVD

4.D-Link DIR-600命令注入漏洞

漏洞介绍:

D-Link DIR-600是中国友讯(D-Link)公司的一款无线路由器。

漏洞危害:

D-Link DIR-600存在命令注入漏洞,该漏洞源于lxmldbc_system()函数中的ST参数未能正确过滤构造命令特殊字符、命令等。攻击者可利用此漏洞导致任意命令执行。

漏洞编号:

CVE-2023-33625

影响范围:

DLink DIR-600 2.18

修复方案:

及时测试并升级到最新版本或升级版本。

来源:CNVD

专注渗透测试技术

全球最新网络攻击技术

END


文章来源: http://mp.weixin.qq.com/s?__biz=MzI0NzEwOTM0MA==&mid=2652502113&idx=1&sn=9c8c0cca963d0ee4606128283894dac2&chksm=f2585bd2c52fd2c415a2a5e11bcdf19cc5babb702d5f6707039b97258e10e72c5afeedd8d991#rd
如有侵权请联系:admin#unsafe.sh