安全漏洞周报(2023.12.04-2023.12.11)
2023-12-13 17:15:17
漏洞速览
■ Apache Struts 代码执行漏洞(CVE-2023-50164)
■ Apache OFBiz 远程代码执行漏洞(CVE-2023-49070)
■ Spring Framework 拒绝服务漏洞(CVE-2023-34053)
■ 用友U8 cloud远程代码执行漏洞
漏洞详情
1. Apache Struts 代码执行漏洞(CVE-2023-50164)
影响组件: Apache Struts 2是一个用于开发Java EE网络应用程序的开放源代码网页应用程序架构。它利用并延伸了Java Servlet API,鼓励开发者采用MVC架构。
漏洞危害:
攻击者可以控制文件上传参数执行路径遍历,在某些情况下可以上传恶意文件,从而执行任意代码。
影响范围:
2.5.0 <= Struts <= 2.5.32
6.0.0 <= Struts <= 6.3.0
修复方案:
目前,官方已有可更新版本,建议用户尽快更新到安全版本:
Struts >= 2.5.33
Struts >= 6.3.0.2
2. Apache OFBiz 远程代码执行漏洞(CVE-2023-49070)
影响组件: Apache OFBiz是一个电子商务平台,用于构建大中型企业级、跨平台、跨数据库、跨应用服务器的多层、分布式电子商务类应用系统。
漏洞危害:
由于XML-RPC仍然存在于Apache Ofbiz 18.12.10之前的版本,远程未授权攻击者可绕过防护措施访问/webtools/control/xmlrpc利用此漏洞导致任意代码执行,接管目标服务器。
影响范围:
Apache OFBiz < 18.12.10
修复方案: 目前官方已有可更新版本,建议受影响用户升级至: Apache OFBiz >= 18.12.10
修复方案: 目前官方已有可更新版本,建议受影响用户升级至: Apache OFBiz >= 18.12.10
3. Spring Framework 拒绝服务漏洞(CVE-2023-34053)
影响组件: Spring Framework是一个全面的、模块化的企业应用开发框架,提供了依赖注入、面向切面编程、数据访问、Web 开发等功能 。
漏洞危害:
当Spring Framework满足一些特定条件时,攻击者可以构造恶意HTTP请求执行拒绝服务攻击,最终造成服务器拒绝服务
。
影响范围:
6.0.0 ≤ Spring Framework ≤ 6.0.13
修复方案: 当前官方已发布最新版本,建议受影响的用户及时更新升级到最新版本。链接如下: https://spring.io/projects/spring-framework
修复方案: 当前官方已发布最新版本,建议受影响的用户及时更新升级到最新版本。链接如下: https://spring.io/projects/spring-framework
4. 用友U8 cloud远程代码执行漏洞
影响组件: U8 cloud是用友推出的新一代云ERP,主要聚焦成长型、创新型企业,提供企业级云ERP整体解决方案 。
漏洞危害:
包括CacheInvokeServlet接口反序列化漏洞)、FileTransportServlet接口反序列化漏洞、PrintTemplateFileServlet接口任意文件删除漏洞,可对用户造成重大风险。
影响范围:
全版本
修复方案: 官方已经发布安全补丁,请尽快升级到最新版,相关链接如下所示: https://security.yonyou.com/#/patchInfo?foreignKey=dc9efa413a644d88b55403cdc150cfea https://security.yonyou.com/#/patchInfo?foreignKey=eb893884876e4bc2acd04ee40dc4cb5fhttps://security.yonyou.com/#/patchInfo?foreignKey=456abb6ce5544ef4a0065fd3a22c1552 以上内容均摘自于互联网,由于传播,利用此文所提供的信息而造成的任何直接或间接的后果和损失,均由使用者本人负责,易安联以及文章作者不承担任何责任。
修复方案: 官方已经发布安全补丁,请尽快升级到最新版,相关链接如下所示: https://security.yonyou.com/#/patchInfo?foreignKey=dc9efa413a644d88b55403cdc150cfea https://security.yonyou.com/#/patchInfo?foreignKey=eb893884876e4bc2acd04ee40dc4cb5fhttps://security.yonyou.com/#/patchInfo?foreignKey=456abb6ce5544ef4a0065fd3a22c1552 以上内容均摘自于互联网,由于传播,利用此文所提供的信息而造成的任何直接或间接的后果和损失,均由使用者本人负责,易安联以及文章作者不承担任何责任。
易安联高级攻防实验室
易安联高级攻防实验室,是易安联为落实公司发展战略,促进网络空间安全生态建设,孵化下一代安全能力,进行高级别的攻防对抗研究而组建的专业性安全实验室。推出的威胁情报和天织DNS威胁分析平台,可以为用户提供高效的威胁防护能力,帮助用户更好地应对各类网络威胁。
关于易安联
江苏易安联网络技术有限公司(www.enlink.top,简称易安联)是专业从事网络信息安全产品研发与销售的高新技术企业,是国内领先的“零信任”产品及解决方案提供商,公司总部位于南京,在北京、深圳、安徽、山东、杭州、西安等地设立分支机构,公司致力于成为国内零信任安全行业领导者!
易安联专注零信任安全,先后发布EnSDP(零信任安界防护平台)、EnBox(零信任安全工作空间)、EnCASB(零信任云应用安全接入平台)、EnAppGate(统一资源发布系统)、EnIAM(零信任身份管理平台)、EnDTA(天织·DTA威胁分析系统)等多款产品及解决方案,推出ZTNA零信任网络架构解决方案和EnSASE安全访问服务边缘解决方案并提供包括安全运维、实战攻防、应急演练等安全服务。公司目前客户已超800家,涵盖教育、金融、电力、互联网、运营商等行业。
文章来源:https://blog.csdn.net/Enlink_Young/article/details/134943833
本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。 如若内容造成侵权/违法违规/事实不符,请联系我的编程经验分享网邮箱:veading@qq.com进行投诉反馈,一经查实,立即删除!
本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。 如若内容造成侵权/违法违规/事实不符,请联系我的编程经验分享网邮箱:veading@qq.com进行投诉反馈,一经查实,立即删除!