雷神眾測漏洞周報2024.05.06-2024.05.12
共 8455字,需瀏覽 17分鐘
·
2024-05-13 15:30
摘要
以下內(nèi)容,均摘自于互聯(lián)網(wǎng),由于傳播,利用此文所提供的信息而造成的任何直接或間接的后果和損失,均由使用者本人負責,雷神眾測以及文章作者不承擔任何責任。
雷神眾測擁有該文章的修改和解釋權(quán)。如欲轉(zhuǎn)載或傳播此文章,必須保證此文章的副本,包括版權(quán)聲明等全部內(nèi)容。聲明雷神眾測允許,不得任意修改或增減此文章內(nèi)容,不得以任何方式將其用于商業(yè)目的。
目錄
1.Atlassian Confluence遠程代碼執(zhí)行漏洞
2.Apache Struts文件上傳組件存在目錄遍歷漏洞
3.北京萬戶網(wǎng)絡(luò)技術(shù)有限公司ezEip系統(tǒng)存在命令執(zhí)行漏洞
4.億賽通電子文檔安全管理系統(tǒng)代碼執(zhí)行漏洞
漏洞詳情
1.Atlassian Confluence遠程代碼執(zhí)行漏洞
漏洞介紹:
Confluence 是一個專業(yè)的企業(yè)知識管理與協(xié)同軟件,也可以用于構(gòu)建企業(yè)wiki。使用簡單,它強大的編輯和站點管理特征能夠幫助團隊成員之間共享信息、文檔協(xié)作、集體討論,信息推送。
漏洞危害:
該漏洞允許經(jīng)過身份驗證的攻擊者(包括具有匿名訪問權(quán)限的攻擊者)將不安全的用戶輸入注入 Confluence 頁面,從而在受影響的實例上實現(xiàn)遠程代碼執(zhí)行,獲取服務(wù)器權(quán)限。
漏洞編號:
CVE-2023-22522
影響范圍:
Confluence Data Center
Confluence Server
4.x.x
5.x.x
6.x.x
7.x.x
8.0.x
8.1.x
8.2.x
8.3.x
8.4.0
8.4.1
8.4.2
8.4.3
8.4.4
8.5.0
8.5.1
8.5.2
8.5.3
8.6.0
8.6.1
修復方案:
及時測試并升級到最新版本或升級版本
來源:安恒信息CERT
2.Apache Struts文件上傳組件存在目錄遍歷漏洞
漏洞介紹:
Apache Struts 是一個免費、開源的MVC框架,用于創(chuàng)建優(yōu)雅、現(xiàn)代的Java Web應用程序。它支持約定優(yōu)于配置,可使用插件架構(gòu)進行擴展,并附帶支持REST、AJAX和JSON的插件。
漏洞危害:
攻擊者可以操縱文件上傳參數(shù)來啟用路徑遍歷,在某些情況下這可能會導致上傳用于執(zhí)行遠程代碼的惡意文件。
漏洞編號:
CVE-2023-50164
影響范圍:
Apache Struts [2.0.0 , 2.5.32]
Apache Struts [6.0.0 , 6.3.0.1]
修復方案:
及時測試并升級到最新版本或升級版本
來源:安恒信息CERT
3.北京萬戶網(wǎng)絡(luò)技術(shù)有限公司ezEip系統(tǒng)存在命令執(zhí)行漏洞
漏洞介紹:
ezEip系統(tǒng)是一款企業(yè)網(wǎng)站管理系統(tǒng)。
漏洞危害:
北京萬戶網(wǎng)絡(luò)技術(shù)有限公司ezEip系統(tǒng)存在命令執(zhí)行漏洞,攻擊者可利用該漏洞獲取服務(wù)器權(quán)限。
影響范圍:
北京萬戶網(wǎng)絡(luò)技術(shù)有限公司 ezEip系統(tǒng) 4.0
修復方案:
及時測試并升級到最新版本或升級版本
來源:CNVD
4.億賽通電子文檔安全管理系統(tǒng)代碼執(zhí)行漏洞
漏洞介紹:
億賽通新一代電子文檔安全管理系統(tǒng)(簡稱:CDG)是一款融合文檔加密、數(shù)據(jù)分類分級、訪問控制、關(guān)聯(lián)分析、大數(shù)據(jù)分析、智能識別等核心技術(shù)的綜合性數(shù)據(jù)智能安全產(chǎn)品。
漏洞危害:
攻擊者可構(gòu)造惡意請求繞過身份認證,結(jié)合相關(guān)功能造成遠程代碼執(zhí)行。
影響范圍:
億賽通電子文檔安全管理系統(tǒng)
修復方案:
及時測試并升級到最新版本或升級版本
來源:阿里云漏洞庫
專注滲透測試技術(shù)
全球最新網(wǎng)絡(luò)攻擊技術(shù)