雷神众测漏洞周报2023.08.28-2023.09.03
2023-9-4 15:16:18 Author: mp.weixin.qq.com(查看原文) 阅读量:3 收藏

摘要

以下内容,均摘自于互联网,由于传播,利用此文所提供的信息而造成的任何直接或间接的后果和损失,均由使用者本人负责,雷神众测以及文章作者不承担任何责任。

雷神众测拥有该文章的修改和解释权。如欲转载或传播此文章,必须保证此文章的副本,包括版权声明等全部内容。声明雷神众测允许,不得任意修改或增减此文章内容,不得以任何方式将其用于商业目的。

目录

1.WinRAR存在任意代码执行漏洞

2.VMware Aria Operations for Networks存在身份验证绕过漏洞

3.达梦大数据分析平台存在未授权访问漏洞

4.Trend Micro Apex One路径遍历漏洞

漏洞详情

1.WinRAR存在任意代码执行漏洞

漏洞介绍:

WinRAR是一个广泛使用的文件压缩和解压缩软件。它可以创建和提取多种常见的压缩文件格式,如RAR、ZIP、7Z等。WinRAR具有强大的压缩算法和高度可定制的选项,使用户能够有效地减小文件的大小,从而节省存储空间和传输时间。

漏洞危害:

6.23版本之前的 RARLabs WinRAR 允许攻击者在用户尝试查看 ZIP 存档中的良性文件时执行任意代码。

影响范围:

WinRAR < 6.23

修复方案:

及时测试并升级到最新版本或升级版本

来源:安恒信息CERT

2. VMware Aria Operations for Networks存在身份验证绕过漏洞

漏洞介绍:

VMware Aria Operations for Networks(以前称为 vRealize Network Insight)通过监控、发现和分析,构建一个经过优化、高度可用且安全的、跨云网络基础架构。

漏洞危害:

由于缺乏唯一的加密密钥生成,Aria Operations for Networks存在身份验证绕过漏洞。具有Aria Operations for Networks网络访问权限的恶意行为者可以绕过SSH身份验证,以访问Aria Operations of Networks CLI。

漏洞编号:

CVE-2023-34039

影响范围:

6.0 < VMware Aria Operations for Networks <=6.11

修复方案:

及时测试并升级到最新版本或升级版本

来源:安恒信息CERT

3. 达梦大数据分析平台存在未授权访问漏洞

漏洞介绍

武汉达梦数据库股份有限公司,是专业提供集大数据平台架构咨询,数据技术方案规划,产品部署与实施于一体的大数据平台公司。

漏洞危害:

达梦大数据分析平台存在未授权访问漏洞,攻击者可利用该漏洞访问特定路径关闭服务。

影响范围:

武汉达梦数据库股份有限公司 达梦大数据分析平台 < 3.2.3

修复方案:

及时测试并升级到最新版本或升级版本

来源:CNVD

4.Trend Micro Apex One路径遍历漏洞

漏洞介绍:

Trend Micro Apex One是美国趋势科技(Trend Micro)公司的一款终端防护软件。

漏洞危害:

Trend Micro Apex One存在路径遍历漏洞,该漏洞源于程序未能正确地过滤资源或文件路径中的特殊元素,攻击者可利用该漏洞将任意文件上传到管理服务器,从而导致使用系统权限远程执行代码。

漏洞编号:

CVE-2023-32557

影响范围:

Trendmicro Trend Micro Apex One 2019 (on-prem)

Trend Micro Apex One as a Service <14.0.12105

修复方案:

及时测试并升级到最新版本或升级版本

来源:CNVD

专注渗透测试技术

全球最新网络攻击技术

END


文章来源: https://mp.weixin.qq.com/s?__biz=MzI0NzEwOTM0MA==&mid=2652502297&idx=1&sn=131f16b9ea862a7500fcc0c0d49110af&chksm=f2585aaac52fd3bcb94d5e7e27ff5740cb0a318e97b016313781e3dce708d68086d021603e57&scene=58&subscene=0#rd
如有侵权请联系:admin#unsafe.sh