雷神眾測漏洞周報2023.02.20-2023.02.26

1.Joomla未授權(quán)訪問漏洞

漏洞介紹：

Joomla是一套全球知名的內(nèi)容管理系統(tǒng)(CMS），其使用PHP語言和MySQL數(shù)據(jù)庫開發(fā)，可以在Linux、Windows、MacOSX等各種不同的平臺上運行。

漏洞危害：

Joomla未授權(quán)訪問漏洞(CVE-2023-23752)：由于對Web服務(wù)端點的訪問限制不當，遠程攻擊者可利用此漏洞未授權(quán)訪問REST API接口，造成敏感信息泄露。

漏洞編號：

CVE-2023-23752

影響范圍：

4.0.0 <= Joomla <= 4.2.7

修復(fù)方案：

及時測試并升級到最新版本或升級版本。

來源：安恒信息CERT

3.VMware Carbon Black App Control 遠程代碼執(zhí)行漏洞

漏洞介紹：

VMware Carbon Black App Control 是一款應(yīng)用允許列表解決方案，旨在使安全運維團隊能夠鎖定新系統(tǒng)和舊版系統(tǒng)，防止發(fā)生不必要的更改，簡化合規(guī)性流程并為企業(yè)系統(tǒng)提供保護。

漏洞危害：

該漏洞存在于VMware Carbon Black App Control中，是一個遠程代碼執(zhí)行漏洞。具有 App Control 管理控制臺特權(quán)訪問權(quán)限的攻擊者可使用特制輸入來訪問底層服務(wù)器操作系統(tǒng)，成功利用此漏洞可在目標系統(tǒng)上執(zhí)行任意代碼。

漏洞編號：

CVE-2023-20858

影響范圍：

VMware Carbon Black App Control 8.9.x < 8.9.4  

VMware Carbon Black App Control 8.8.x < 8.8.6  

VMware Carbon Black App Control 8.7.x < 8.7.8  

修復(fù)方案：

及時測試并升級到最新版本或升級版本。

來源：360CERT