雷神众测漏洞周报2023.09.11-2023.09.17
2023-9-18 17:44:3 Author: 雷神众测(查看原文) 阅读量:13 收藏

声明

以下内容,均摘自于互联网,由于传播,利用此文所提供的信息而造成的任何直接或间接的后果和损失,均由使用者本人负责,雷神众测以及文章作者不承担任何责任。

雷神众测拥有该文章的修改和解释权。如欲转载或传播此文章,必须保证此文章的副本,包括版权声明等全部内容。声明雷神众测允许,不得任意修改或增减此文章内容,不得以任何方式将其用于商业目的。

目录

1.IBM Security Directory Server目录遍历漏洞

2.Mozilla Firefox代码执行漏洞

3.致远OA前台任意用户密码重置漏洞

4.Windows Themes远程代码执行漏洞

漏洞详情

1.IBM Security Directory Server目录遍历漏洞

漏洞介绍:

IBM Security Directory Server是美国国际商业机器(IBM)公司的一套使用了轻量级目录访问协议(LDAP)的企业身份管理软件。该软件提供一个可信的身份数据基础架构,用于身份验证。

漏洞危害:

IBM Security Directory Server 7.2.0版本存在目录遍历漏洞,该漏洞源于程序在处理目录请求时的路径缺乏有效性检查,攻击者可利用该漏洞发送特制的URL请求,以查看或写入系统上的任意文件。

漏洞编号:

CVE-2022-33164

影响范围:

IBM Security Directory Server 7.2.0

修复方案:

及时测试并升级到最新版本或升级版本。

来源:CNVD

2.Mozilla Firefox代码执行漏洞

漏洞介绍:

Mozilla Firefox是美国Mozilla基金会的一款开源Web浏览器。

漏洞危害:

Mozilla Firefox 110之前版本存在代码执行漏洞,该漏洞源于开发人员工具网络面板中的URL预览未正确存储URL,攻击者可利用该漏洞使用未知的攻击向量覆盖特权代码中的全局对象,并在易受攻击的系统上执行任意代码或导致拒绝服务

漏洞编号:

CVE-2023-25731

影响范围:

Mozilla Firefox <110

修复方案:

及时测试并升级到最新版本或升级版本。

来源:CNVD

3. 致远OA前台任意用户密码重置漏洞

漏洞介绍:

致远A8+协同管理平台,主要面向中大型、集团型企业和组织的协同管理软件产品。

漏洞危害:

该漏洞存在于致远OA中,是一个短信验证码绕过重置密码漏洞。在已知用户名的情况下,未经授权的远程攻击者可通过发送HTTP请求来触发任意用户密码重置,最终可导致任意用户登录。

影响范围:

致远OA V5/G6 V8.1SP2、V8.2

修复方案:

及时测试并升级到最新版本或升级版本。

来源:360CERT

4.Windows Themes远程代码执行漏洞

漏洞介绍:

Windows主题是一种视觉模式,它预先定义了墙纸、图标、指针、屏幕保护程序、声音或任何颜色样式的集合,这些样式一起构成了PC的界面,用户也可以根据自己的喜好更改主题和自定义主题。

漏洞危害:

该漏洞存在于 Windows 主题中,是一个远程代码执行漏洞。攻击者可引诱用户打开特制的主题文件,进而利用该漏洞在用户计算机上实现远程代码执行。

漏洞编号:

CVE-2023-38146

影响范围:

Windows 11

修复方案:

及时测试并升级到最新版本或升级版本。

来源:360CERT

专注渗透测试技术

全球最新网络攻击技术

END


文章来源: http://mp.weixin.qq.com/s?__biz=MzI0NzEwOTM0MA==&mid=2652502378&idx=1&sn=e25aff97d01c4134f445113fc8313b02&chksm=f2585ad9c52fd3cf48d321bdc934212db8ff2ec488550f35efa4af07af42262693a18f7e5e5e&scene=0&xtrack=1#rd
如有侵权请联系:admin#unsafe.sh