雷神众测漏洞周报2023.07.10-2023.07.16
2023-7-17 12:17:58 Author: mp.weixin.qq.com(查看原文) 阅读量:7 收藏

摘要

以下内容,均摘自于互联网,由于传播,利用此文所提供的信息而造成的任何直接或间接的后果和损失,均由使用者本人负责,雷神众测以及文章作者不承担任何责任。

雷神众测拥有该文章的修改和解释权。如欲转载或传播此文章,必须保证此文章的副本,包括版权声明等全部内容。声明雷神众测允许,不得任意修改或增减此文章内容,不得以任何方式将其用于商业目的。

目录

1.泛微E-Cology存在SQL注入漏洞

2.FortiOS/FortiProxy存在栈溢出漏洞

3.Apache StreamPipes权限提升漏洞

4.Adobe Coldfusion访问控制绕过漏洞

漏洞详情

1.泛微E-Cology存在SQL注入漏洞

漏洞介绍:

泛微E-Cology是一套集成了文档管理、流程管理、知识管理、协同办公等功能的企业级软件平台。该平台可以帮助企业实现信息化管理、流程优化和团队协作,提高工作效率和管理水平。

漏洞危害:

泛微E-Cology存在SQL注入漏洞,攻击者可以利用该漏洞获取数据库中的敏感信息。

影响范围:

E-Cology < 10.58.0

修复方案:

及时测试并升级到最新版本或升级版本

来源:安恒信息CERT

2.FortiOS/FortiProxy存在栈溢出漏洞

漏洞介绍:

Fortinet提供了一系列网络安全解决方案,包括防火墙、入侵防御系统、安全网关、网络安全管理、端点安全、云安全和安全服务等。Fortinet的产品和服务广泛应用于企业、服务提供商、政府和教育等各个领域,为客户提供全面的网络安全保护。

漏洞危害:

在代理模式设为深度检查的情况下,该漏洞允许远程攻击者通过构造能到达代理策略或具有代理模式的防火墙策略的伪造数据包,实现执行任意代码或命令。

漏洞编号:

CVE-2023-33308

影响范围:

7.2.0 <= FortiOS  <= 7.2.3

7.0.0 <= FortiOS  <= 7.0.10

7.2.0 <= FortiProxy <= 7.2.2

7.0.0 <= FortiProxy <= 7.0.9

修复建议:

及时测试并升级到最新版本或升级版本。

来源:安恒信息CERT

3.Apache StreamPipes权限提升漏洞

漏洞介绍:

Apache StreamPipes是美国阿帕奇(Apache)基金会的一个自助式(工业)物联网工具箱,使非技术用户能够连接、分析和探索IIoT数据流。

漏洞危害:

Apache StreamPipes存在权限提升漏洞,该是由于未能正确地将REST接口限制为仅限管理员访问造成的。攻击者可利用此漏洞在系统上获得提升的权限。

漏洞编号:

CVE-2023-31469

影响范围:

0.69.0 <= Apache StreamPipes <=0.91.0

修复方案:

时测试并升级到最新版本或升级版本。

来源:CNVD

4.Adobe Coldfusion访问控制绕过漏洞

漏洞介绍:

Adobe ColdFusion是美国奥多比(Adobe)公司的一套快速应用程序开发平台。该平台包括集成开发环境和脚本语言。

漏洞危害:

Adobe Coldfusion存在访问控制绕过漏洞,攻击者可利用该漏洞导致安全功能绕过。

漏洞编号:

CVE-2023-29298

影响范围:

Adobe ColdFusion 2016 <=Update 16

Adobe ColdFusion 2018 <=Update 16

修复方案:

及时测试并升级到最新版本或升级版本。

来源:CNVD

专注渗透测试技术

全球最新网络攻击技术

END


文章来源: https://mp.weixin.qq.com/s?__biz=MzI0NzEwOTM0MA==&mid=2652502221&idx=1&sn=296ad88a02ad5c1f7ae4d6a182e13a4c&chksm=f2585b7ec52fd268ca90c33632efcafc20c2c78597d556a9e5a026cd7b1180fb79ce6d86872e&scene=58&subscene=0#rd
如有侵权请联系:admin#unsafe.sh