腾讯安全近期监测到关于WinRAR 的风险公告,漏洞编号为CVE-2023-38831(CNNVD: CNNVD-202308-1943)。成功利用此漏洞的攻击者,最终可远程在目标系统上执行任意代码。
WinRAR 是一款使用广泛、功能强大的压缩文件管理工具。该软件可用于备份数据,缩减电子邮件附件的大小,解压缩从 Internet 上下载的RAR、ZIP及其它类型文件,并且可以创建 RAR 及 ZIP 格式的压缩文件。
据描述,WinRAR在6.23版本之前存在可欺骗文件扩展名的漏洞,攻击者可以利用该漏洞构造一个恶意的压缩文件,当用户打开压缩文件中看似无害的诱饵文件(jpg、txt等格式)时,会执行与诱饵文件同名的文件夹下的恶意脚本,最终实现远程执行任意代码。
风险等级:
影响版本:
WinRAR < 6.23
修复建议:
官方已发布漏洞补丁及修复版本,请评估业务是否受影响后,酌情升级至安全版本。
【备注】:建议您在升级前做好数据备份工作,避免出现意外。
https://www.win-rar.com/start.html
腾讯安全近期监测到SmartBI官方发布了关于SmartBI的风险公告,漏洞编号为CNVD-2023-64853。成功利用此漏洞的攻击者,最终可绕过身份验证登录后台。
SmartBI是广州思迈特软件有限公司旗下的商业智能BI和数据分析品牌,为企业客户提供一站式商业智能解决方案。Smartbi大数据分析产品融合BI定义的所有阶段,对接各种业务数据库、数据仓库和大数据分析平台,进行加工处理、分析挖掘和可视化展现;满足所有用户的各种数据分析应用需求,如大数据分析、可视化分析、探索式分析、复杂报表、应用分享等。
据描述,该漏洞源于先前补丁修复不完全,攻击者可以利用windowUnloading配合Multipart传参即可绕过拦截,从而获取管理员Cookie登录后台。
漏洞状态:
风险等级:
影响版本:
SmartBI >= V6且补丁版本<20230822
官方已发布漏洞补丁及修复版本,请评估业务是否受影响后,酌情升级至安全版本。
▪️自动升级:
登录后台->右上角系统监控->系统补丁->安装补丁->在线更新
▪️手动升级:
下载补丁->登录后台->右上角系统监控->系统补丁->安装补丁->手动更新
详情可参考:
https://wiki.smartbi.com.cn/pages/viewpage.action?pageId=50692623
【备注】:建议您在升级前做好数据备份工作,避免出现意外。
https://www.smartbi.com.cn/patchinfo
腾讯安全近期监测到Splunk 官方发布了关于Splunk的风险公告,漏洞编号为CVE-2023-40595 (CNNVD编号: CNNVD-202308-2380)。成功利用此漏洞的攻击者,最终可远程在目标系统上执行任意代码。
Splunk是美国Splunk公司的一套数据收集分析软件。该软件主要用于收集、索引和分析系统生成的数据,包括所有IT系统和基础结构(物理、虚拟机和云)。
据描述, Splunk可以执行特制查询,然后使用该查询来对不受信任的数据进行序列化操作。攻击者需要首先使用”collect”SPL命令在Splunk Enterprise安装目录中写入一个文件,然后使用此文件提交序列化后的恶意攻击载荷,从而执行任意代码。
漏洞状态:
风险等级:
影响版本:
8.2.0 <= Splunk Enterprise <= 8.2.11
9.0.0 <= Splunk Enterprise <= 9.0.5
Splunk Enterprise 9.1.0
Splunk Cloud <= 9.0.2305.100
修复建议:
1. 如果 Splunk Enterprise 实例不运行 Splunk Web,则不会产生影响。
2.如果用户未在分布式环境中的索引器上登录Splunk Web,请在这些索引器上禁用 Splunk Web。
参考文档:
3.官方已发布漏洞补丁及修复版本,请评估业务是否受影响后,酌情升级至安全版本。
【备注】:建议您在升级前做好数据备份工作,避免出现意外。
https://advisory.splunk.com/advisories/SVD-2023-0804
概述:
腾讯安全近期监测到关于Jeecg-boot的风险公告,漏洞编号暂无。成功利用此漏洞的攻击者,最终可远程在目标系统上执行任意代码。
Jeecg-boot是一款基于代码生成器的低代码开发平台,可以应用在任何J2EE项目的开发中,尤其适合SAAS项目、企业信息管理系统(MIS)、内部办公系统(OA)、企业资源计划系统(ERP)、客户关系管理系统(CRM)等。其半智能手工Merge的开发方式,可以显著提高开发效率70%以上,极大降低开发成本。
据描述,该漏洞源于testConnection接口未进行身份验证,并且未对 dbUrl 参数进行限制,当应用端存在H2数据库驱动依赖时,攻击者可以通过发送特制的恶意请求,远程执行任意代码。
3.0 <= jeecg-boot <= 3.5.3
1. 设置/jeecg-boot/jmreport/testConnection接口的访问限制,避免接口暴露至公网。
2. 官方暂未发布漏洞修复版本,请持续关注官方公告,及时更新至安全版本。
【备注】:建议您在升级前做好数据备份工作,避免出现意外。
http://www.jeecg.com/doc/log
概述:
腾讯安全近期监测到关于Jeecg-boot的风险公告,漏洞编号暂无。成功利用此漏洞的攻击者,最终可远程在目标系统上执行任意代码。
据描述,该漏洞源于Jeecg-boot代码存在缺陷,攻击者可以通过/jeecg-boot/jmreport/queryFieldBySql 接口进行Freemarker 模板注入,从而远程执行任意代码。
漏洞状态:
风险等级:
影响版本:
jeecg-boot <= 3.5.3
修复建议:
1. 可以采用重写freemarker的类src/main/java/freemarker/template/Configuration.java方式,在实例化Configuration方法里面默认加入以下内容:
//freemarker模板注入问题 禁止解析ObjectConstructor,Execute和freemarker.template.utility.JythonRuntime。this.setNewBuiltinClassResolver(TemplateClassResolver.SAFER_RESOLVER);
2. 官方暂未发布漏洞修复版本,请持续关注官方公告,及时更新至安全版本。
【备注】:建议您在升级前做好数据备份工作,避免出现意外。
http://www.jeecg.com/doc/log
概述:
2023年8月,微软发布了2023年8月安全更新补丁,共发布了87个漏洞的补丁程序,其中包含6个严重漏洞,79个重要漏洞。本次发布涉及多个软件的安全更新,包括Microsoft Exchange Server、ASP.NET、Windows、Windows Defender等产品。上述漏洞中危害性较高的是IIS ASP.NET权限绕过/权限提升漏洞,漏洞编号为:CVE-2023-36899(CNNVD编号:CNNVD-202308-658)。成功利用此漏洞的攻击者,最终可以绕过页面身份验证,提升运行权限。
IIS(Internet Information Services)是一种Web服务器软件,由Microsoft公司开发。它可以在Windows操作系统上运行,用于托管和管理网站、Web应用程序和其他Web服务。IIS支持多种Web技术和编程语言,如HTML、CSS、JavaScript、ASP.NET、PHP等。
据描述,该漏洞源于ASP.NET框架中存在CookieLess技术,当.NET Framework处理包含CookieLess的请求时会重写URL,处理后URL中的CookieLess被清除,并且不会继续进行URL身份校验。攻击者可以使用CookieLess绕过页面身份验证,也可以通过该方式提升程序的运行权限。
漏洞状态:
风险等级:
影响版本:
Microsoft .NET Framework 3.5 AND 4.8.1 for Windows Server 2022
Microsoft .NET Framework 4.6.2/4.7/4.7.1/4.7.2 for Windows Server 2012 R2 (Server Core installation)
Microsoft .NET Framework 4.6.2/4.7/4.7.1/4.7.2 for Windows Server 2012 R2 (Server Core installation)
Microsoft .NET Framework 3.5 AND 4.7.2 for Windows Server 2019 (Server Core installation)
Microsoft .NET Framework 2.0 Service Pack 2 for Windows Server 2008 for 32-bit Systems Service Pack 2
Microsoft .NET Framework 2.0 Service Pack 2 for Windows Server 2008 for 32-bit Systems Service Pack 2
Microsoft .NET Framework 2.0 Service Pack 2 for Windows Server 2008 for x64-based Systems Service Pack 2
Microsoft .NET Framework 2.0 Service Pack 2 for Windows Server 2008 for x64-based Systems Service Pack 2
Microsoft .NET Framework 4.6.2 for Windows Server 2008 for x64-based Systems Service Pack 2 (Server Core installation)
Microsoft .NET Framework 4.6.2 for Windows Server 2008 for x64-based Systems Service Pack 2 (Server Core installation)
Microsoft .NET Framework 4.6.2 for Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core installation)
Microsoft .NET Framework 4.6.2 for Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core installation)
Microsoft .NET Framework 3.5 AND 4.8.1 for Windows 10 Version 22H2 for 32-bit Systems
Microsoft .NET Framework 4.6.2 for Windows Server 2008 for x64-based Systems Service Pack 2
Microsoft .NET Framework 4.6.2 for Windows Server 2008 for x64-based Systems Service Pack 2
Microsoft .NET Framework 3.5 AND 4.8.1 for Windows 10 Version 22H2 for ARM64-based Systems
Microsoft .NET Framework 4.6.2 for Windows Server 2008 for 32-bit Systems Service Pack 2
Microsoft .NET Framework 4.6.2 for Windows Server 2008 for 32-bit Systems Service Pack 2
Microsoft .NET Framework 3.5 AND 4.8.1 for Windows 10 Version 22H2 for x64-based Systems
Microsoft .NET Framework 3.5 AND 4.8.1 for Windows Server 2022 (Server Core installation)
Microsoft .NET Framework 4.6.2/4.7/4.7.1/4.7.2 for Windows Server 2008 R2 for x64-based Systems Service Pack 1
Microsoft .NET Framework 4.6.2/4.7/4.7.1/4.7.2 for Windows Server 2008 R2 for x64-based Systems Service Pack 1
Microsoft .NET Framework 4.6.2/4.7/4.7.1/4.7.2 for Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)
Microsoft .NET Framework 4.6.2/4.7/4.7.1/4.7.2 for Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)
Microsoft .NET Framework 4.6.2/4.7/4.7.1/4.7.2 for Windows Server 2012
Microsoft .NET Framework 4.6.2/4.7/4.7.1/4.7.2 for Windows Server 2012
Microsoft .NET Framework 3.5 AND 4.8 for Windows 10 Version 22H2 for 32-bit Systems
Microsoft .NET Framework 3.5 AND 4.8 for Windows 10 Version 22H2 for ARM64-based Systems
Microsoft .NET Framework 3.5 AND 4.8 for Windows 10 Version 22H2 for x64-based Systems
Microsoft .NET Framework 3.5 AND 4.8 for Windows 10 Version 21H2 for ARM64-based Systems
Microsoft .NET Framework 3.5 AND 4.8 for Windows 10 Version 21H2 for x64-based Systems
Microsoft .NET Framework 3.5 AND 4.8 for Windows 10 Version 21H2 for 32-bit Systems
Microsoft .NET Framework 4.8 for Windows Server 2012 R2
Microsoft .NET Framework 4.8 for Windows Server 2012 R2
Microsoft .NET Framework 3.5 AND 4.8.1 for Windows 10 Version 21H2 for ARM64-based Systems
Microsoft .NET Framework 3.5 AND 4.8.1 for Windows 10 Version 21H2 for x64-based Systems
Microsoft .NET Framework 3.5 AND 4.8.1 for Windows 11 Version 22H2 for ARM64-based Systems
Microsoft .NET Framework 3.5 AND 4.8.1 for Windows 11 Version 22H2 for x64-based Systems
Microsoft .NET Framework 3.5 AND 4.8.1 for Windows 11 version 21H2 for ARM64-based Systems
Microsoft .NET Framework 3.5 AND 4.8.1 for Windows 11 version 21H2 for x64-based Systems
Microsoft .NET Framework 3.5 AND 4.8.1 for Windows 10 Version 21H2 for 32-bit Systems
Microsoft .NET Framework 4.6.2/4.7/4.7.1/4.7.2 for Windows Server 2012 R2
Microsoft .NET Framework 4.6.2/4.7/4.7.1/4.7.2 for Windows Server 2012 R2
Microsoft .NET Framework 4.6.2/4.7/4.7.1/4.7.2 for Windows Server 2012 (Server Core installation)
Microsoft .NET Framework 4.6.2/4.7/4.7.1/4.7.2 for Windows Server 2012 (Server Core installation)
Microsoft .NET Framework 4.8 for Windows Server 2012 R2 (Server Core installation)
Microsoft .NET Framework 4.8 for Windows Server 2012 R2 (Server Core installation)
Microsoft .NET Framework 4.8 for Windows Server 2012 (Server Core installation)
Microsoft .NET Framework 4.8 for Windows Server 2012 (Server Core installation)
Microsoft .NET Framework 4.8 for Windows Server 2012
Microsoft .NET Framework 4.8 for Windows Server 2012
Microsoft .NET Framework 4.8 for Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)
Microsoft .NET Framework 4.8 for Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)
Microsoft .NET Framework 4.8 for Windows Server 2008 R2 for x64-based Systems Service Pack 1
Microsoft .NET Framework 4.8 for Windows Server 2008 R2 for x64-based Systems Service Pack 1
Microsoft .NET Framework 3.5 AND 4.7.2 for Windows Server 2019
Microsoft .NET Framework 3.5 AND 4.7.2 for Windows 10 Version 1809 for x64-based Systems
Microsoft .NET Framework 3.5 AND 4.7.2 for Windows 10 Version 1809 for 32-bit Systems
Microsoft .NET Framework 3.5 AND 4.7.2 for Windows 10 Version 1809 for ARM64-based Systems
Microsoft .NET Framework 3.5 AND 4.8 for Windows 11 version 21H2 for ARM64-based Systems
Microsoft .NET Framework 3.5 AND 4.8 for Windows 11 version 21H2 for x64-based Systems
Microsoft .NET Framework 3.5 AND 4.8 for Windows 10 Version 1809 for ARM64-based Systems
Microsoft .NET Framework 3.5 AND 4.8 for Windows Server 2019
Microsoft .NET Framework 3.5 AND 4.8 for Windows Server 2022
Microsoft .NET Framework 3.5 AND 4.8 for Windows Server 2019 (Server Core installation)
Microsoft .NET Framework 3.5 AND 4.8 for Windows Server 2022 (Server Core installation)
Microsoft .NET Framework 3.5 AND 4.8 for Windows 10 Version 1809 for 32-bit Systems
Microsoft .NET Framework 3.5 AND 4.8 for Windows 10 Version 1809 for x64-based Systems
Microsoft .NET Framework 4.8 for Windows Server 2016 (Server Core installation)
Microsoft .NET Framework 4.8 for Windows Server 2016
Microsoft .NET Framework 4.8 for Windows 10 Version 1607 for 32-bit Systems
Microsoft .NET Framework 4.8 for Windows 10 Version 1607 for x64-based Systems
修复建议:
官方已发布漏洞补丁及修复版本,请评估业务是否受影响后,酌情升级至安全版本。
【备注】:建议您在升级前做好数据备份工作,避免出现意外。
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-36899
* 以上漏洞的修复建议,由安全专家审核并融合了AI生成的建议。
* 漏洞评分为腾讯安全研究人员根据漏洞情况作出,仅供参考,具体漏洞细节请以原厂商或是相关漏洞平台公示为准。
如有侵权请联系:admin#unsafe.sh