雷神眾測漏洞周報(bào)2023.09.25-2023.10.08
摘要
以下內(nèi)容,均摘自于互聯(lián)網(wǎng),由于傳播,利用此文所提供的信息而造成的任何直接或間接的后果和損失,均由使用者本人負(fù)責(zé),雷神眾測以及文章作者不承擔(dān)任何責(zé)任。
雷神眾測擁有該文章的修改和解釋權(quán)。如欲轉(zhuǎn)載或傳播此文章,必須保證此文章的副本,包括版權(quán)聲明等全部內(nèi)容。聲明雷神眾測允許,不得任意修改或增減此文章內(nèi)容,不得以任何方式將其用于商業(yè)目的。
目錄
1.JumpServer密碼重置漏洞
2.Microsoft SharePoint Server遠(yuǎn)程代碼執(zhí)行漏洞
3.Microsoft Exchange Server遠(yuǎn)程代碼執(zhí)行漏洞
4.Microsoft Visual Studio Code遠(yuǎn)程代碼執(zhí)行漏洞
漏洞詳情
1.JumpServer密碼重置漏洞
漏洞介紹:
JumpServer 是廣受歡迎的開源堡壘機(jī),是符合4A 規(guī)范的專業(yè)運(yùn)維安全審計(jì)系統(tǒng)。JumpServer 使用Python 開發(fā),配備了業(yè)界領(lǐng)先的Web Terminal 方案,交互界面美觀、用戶體驗(yàn)好。
漏洞危害:
該漏洞存在于JumpServer v2.24 - v3.6.4中,是一個(gè)密碼重置漏洞。攻擊者可利用該漏洞,在未登錄的情況下,利用API造成隨機(jī)數(shù)種子泄露,進(jìn)而重放隨機(jī)生成的驗(yàn)證碼,導(dǎo)致密碼重置,最終登錄JumpServer。可通過啟用 MFA或關(guān)閉本地身份驗(yàn)證來緩解該漏洞。
漏洞編號:
CVE-2023-42820
影響范圍:
v2.24 < JumpServer < v3.6.4
修復(fù)方案:
及時(shí)測試并升級到最新版本或升級版本
來源:360CERT
2.Microsoft SharePoint Server遠(yuǎn)程代碼執(zhí)行漏洞
漏洞介紹:
Microsoft SharePoint Server是美國微軟(Microsoft)公司的一套企業(yè)業(yè)務(wù)協(xié)作平臺。該平臺用于對業(yè)務(wù)信息進(jìn)行整合,并能夠共享工作、與他人協(xié)同工作、組織項(xiàng)目和工作組、搜索人員和信息。
漏洞危害:
Microsoft SharePoint Server存在遠(yuǎn)程代碼執(zhí)行漏洞。攻擊者可利用該漏洞在系統(tǒng)上執(zhí)行任意代碼。
漏洞編號:
CVE-2023-33160
影響范圍:
Microsoft SharePoint Enterprise Server 2016
Microsoft SharePoint Server 2019
Microsoft SharePoint Server Subscription Edition
修復(fù)方案:
及時(shí)測試并升級到最新版本或升級版本
來源:CNVD
3.Microsoft Exchange Server遠(yuǎn)程代碼執(zhí)行漏洞
漏洞介紹:
Microsoft Exchange Server是美國微軟(Microsoft)公司的一套電子郵件服務(wù)程序。它提供郵件存取、儲存、轉(zhuǎn)發(fā),語音郵件,郵件過濾篩選等功能。
漏洞危害:
Microsoft Exchange Server存在遠(yuǎn)程代碼執(zhí)行漏洞,攻擊者可利用該漏洞在系統(tǒng)上執(zhí)行任意代碼。
漏洞編號:
CVE-2023-36745
影響范圍:
Microsoft Exchange Server 2019 Cumulative Update 12
Microsoft Exchange Server 2016 Cumulative Update 23
Microsoft Exchange Server 2019 Cumulative Update 13
修復(fù)方案:
及時(shí)測試并升級到最新版本或升級版本
來源:CNVD
4.Microsoft Visual Studio Code遠(yuǎn)程代碼執(zhí)行漏洞
漏洞介紹:
Microsoft Visual Studio Code是美國微軟(Microsoft)公司的一款開源的代碼編輯器。
漏洞危害:
Microsoft Visual Studio Code存在遠(yuǎn)程代碼執(zhí)行漏洞,攻擊者可利用該漏洞在系統(tǒng)上執(zhí)行任意代碼。
漏洞編號:
CVE-2023-36742
影響范圍:
Microsoft Visual Studio Code <1.82.1
修復(fù)方案:
及時(shí)測試并升級到最新版本或升級版本
來源:CNVD
專注滲透測試技術(shù)
全球最新網(wǎng)絡(luò)攻擊技術(shù)