雷神眾測(cè)漏洞周報(bào)2024.2.26-2024.3.3

摘要

以下內(nèi)容，均摘自于互聯(lián)網(wǎng)，由于傳播，利用此文所提供的信息而造成的任何直接或間接的后果和損失，均由使用者本人負(fù)責(zé)，雷神眾測(cè)以及文章作者不承擔(dān)任何責(zé)任。

雷神眾測(cè)擁有該文章的修改和解釋權(quán)。如欲轉(zhuǎn)載或傳播此文章，必須保證此文章的副本，包括版權(quán)聲明等全部?jī)?nèi)容。聲明雷神眾測(cè)允許，不得任意修改或增減此文章內(nèi)容，不得以任何方式將其用于商業(yè)目的。

目錄

1.Gofiber 存在CORS憑證泄露漏洞

2.Apache OFBiz <18.12.12 路徑遍歷漏洞

3.瑞友天翼應(yīng)用虛擬化系統(tǒng)存在SQL注入漏洞

4.Microsoft Office遠(yuǎn)程代碼執(zhí)行漏洞

漏洞詳情

1.Gofiber 存在CORS憑證泄露漏洞

漏洞介紹：

Gofiber 是一個(gè)基于Go語(yǔ)言的輕量級(jí)web框架。

漏洞危害：

受影響版本中，Web應(yīng)用中的CORS中間件允許不安全的配置(例如：同時(shí)設(shè)置Access-Control-Allow-Origin 通配符`*`并且Access-Control-Allow-Credentials為true)，攻擊者可以利用這種不安全的配置，通過構(gòu)造特定的跨源請(qǐng)求竊取其他用戶的用戶憑證(如cookies、HTTP認(rèn)證信息等)。

瀏覽器提供的 fetch API 以及強(qiáng)制執(zhí)行 CORS 策略的瀏覽器和實(shí)用程序不受此漏洞影響。

漏洞編號(hào)：

CVE-2024-25124

影響范圍：

github.com/gofiber/fiber/v2@(-∞, 2.52.1)

github.com/gofiber/fiber/v2/middleware/cors@(-∞, 2.52.1)

修復(fù)方案：

及時(shí)測(cè)試并升級(jí)到最新版本或升級(jí)版本

來源：OSCS

2.Apache OFBiz <18.12.12 路徑遍歷漏洞

漏洞介紹：

Apache OFBiz 是一個(gè)開源的企業(yè)資源計(jì)劃系統(tǒng)。

漏洞危害：

Apache OFBiz 中由于未充分驗(yàn)證用戶輸入的 contextPath 而導(dǎo)致存在路徑遍歷漏洞，未授權(quán)的攻擊者可以通過構(gòu)造惡意請(qǐng)求繞過認(rèn)證，進(jìn)而訪問系統(tǒng)中的資源。修復(fù)代碼通過將contextPath轉(zhuǎn)換為一個(gè)URI對(duì)象，并調(diào)用.normalize()方法來規(guī)范化路徑，從而防止路徑遍歷。

漏洞編號(hào)：

CVE-2024-25065

影響范圍：

ofbiz@(-∞, 18.12.12)

修復(fù)方案：

及時(shí)測(cè)試并升級(jí)到最新版本或升級(jí)版本

來源：OSCS

3.瑞友天翼應(yīng)用虛擬化系統(tǒng)存在SQL注入漏洞

漏洞介紹：

西安瑞友信息技術(shù)資訊有限公司是專業(yè)從事虛擬化及云計(jì)算解決方案提供商。

漏洞危害：

瑞友天翼應(yīng)用虛擬化系統(tǒng)存在SQL注入漏洞，攻擊者可利用該漏洞獲取數(shù)據(jù)庫(kù)信息進(jìn)而執(zhí)行命令。

影響范圍：

西安瑞友信息技術(shù)資訊有限公司 瑞友天翼應(yīng)用虛擬化系統(tǒng) 7.0.5.1

修復(fù)方案：

及時(shí)測(cè)試并升級(jí)到最新版本或升級(jí)版本

來源：CNVD

4.Microsoft Office遠(yuǎn)程代碼執(zhí)行漏洞

漏洞介紹：

Microsoft Office是微軟公司開發(fā)的一套基于Windows操作系統(tǒng)的辦公軟件套裝。

漏洞危害：

Microsoft Office存在遠(yuǎn)程代碼執(zhí)行漏洞，攻擊者可利用該漏洞在系統(tǒng)上執(zhí)行任意代碼。

漏洞編號(hào)：

CVE-2024-20673

影響范圍：

Microsoft Office 2016

Microsoft Excel 2016

Microsoft Word 2016

Microsoft Publisher 2016

Microsoft PowerPoint 2016

Microsoft Skype for Business 2016

Microsoft Office LTSC 2021

Microsoft Office 2019

修復(fù)方案：

及時(shí)測(cè)試并升級(jí)到最新版本或升級(jí)版本

來源：CNVD

專注滲透測(cè)試技術(shù)

全球最新網(wǎng)絡(luò)攻擊技術(shù)

END