摘要
以下内容,均摘自于互联网,由于传播,利用此文所提供的信息而造成的任何直接或间接的后果和损失,均由使用者本人负责,雷神众测以及文章作者不承担任何责任。
雷神众测拥有该文章的修改和解释权。如欲转载或传播此文章,必须保证此文章的副本,包括版权声明等全部内容。声明雷神众测允许,不得任意修改或增减此文章内容,不得以任何方式将其用于商业目的。
目录
1.Apache Shiro 身份认证绕过漏洞
2.Metabase远程命令执行漏洞
3.IBM DB2代码执行漏洞
4.IBM AIX命令执行漏洞
漏洞详情
1.Apache Shiro 身份认证绕过漏洞
漏洞介绍:
Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理。
漏洞危害:
该漏洞存在于Apache Shiro中,是一个身份认证绕过漏洞。当与基于非规范化请求路由请求的API或其他web框架一起使用时,攻击者可能利用此漏洞,通过构造特殊的HTTP请求绕过身份验证。
漏洞编号:
CVE-2023-34478
影响范围:
6.1.0<=Spring Security<=6.1.1
6.0.0<=Spring Security<=6.0.4
5.8.0<=Spring Security<=5.8.4
5.7.0<=Spring Security<=5.7.9
5.6.0<=Spring Security<=5.6.11
修复方案:
Apache:Shiro < 1.12.0
Apache:Shiro < 2.0.0-alpha-3
来源:360CERT
2.Metabase远程命令执行漏洞
漏洞介绍:
Metabase是一个开源的数据分析和可视化工具,它可以帮助用户轻松地连接到各种数据源,包括数据库、云服务和API,然后使用直观的界面进行数据查询、分析和可视化。
漏洞危害:
该漏洞存在于Metabase 中,是一个远程命令执行漏洞。未经身份认证的远程攻击者可利用该漏洞,在服务器上以 Metabase 运行用户权限级别执行任意命令。
漏洞编号:
CVE-2023-38646
影响范围:
Metabase:Metabase Community 0.46 < 0.46.6.1
Metabase:Metabase Community 0.45 < v0.45.4.1
Metabase:Metabase Community 0.44 < 0.44.7.1
Metabase:Metabase Community 0.43 < 0.43.7.2
Metabase:Metabase Community 0.46 < 0.46.6.1
Metabase:Metabase Enterprise 1.46 < 1.46.6.1
Metabase:Metabase Enterprise 1.45 < 1.45.4.1
Metabase:Metabase Enterprise 1.44 < 1.44.7.1
Metabase:Metabase Enterprise 1.43 < 1.43.7.2
修复建议:
及时测试并升级到最新版本或升级版本。
来源:360CERT
3.IBM DB2代码执行漏洞
漏洞介绍:
IBM DB2是美国国际商业机器(IBM)公司的一套关系型数据库管理系统。该系统的执行环境主要有UNIX、Linux、IBMi、z/OS以及Windows服务器版本。
漏洞危害:
IBM DB2存在代码执行漏洞,该漏洞源于未经检查的记录器注入。攻击者可利用该漏洞在系统上执行任意代码。
漏洞编号:
CVE-2023-27869
影响范围:
IBM DB2 10.5.0.11
IBM DB2 11.1.4.7
IBM DB2 11.5.*
修复方案:
及时测试并升级到最新版本或升级版本。
来源:CNVD
4.IBM AIX命令执行漏洞
漏洞介绍:
IBM AIX(Advanced Interactive eXecutive)是美国IBM公司开发的一套UNIX操作系统。
漏洞危害:
IBM AIX存在命令执行漏洞,攻击者可利用该漏洞执行任意命令。
漏洞编号:
CVE-2023-28528
影响范围:
IBM Aix 7.1
IBM AIX 7.2
IBM VIOS 3.1
IBM AIX 7.3
修复方案:
及时测试并升级到最新版本或升级版本。
来源:CNVD
专注渗透测试技术
全球最新网络攻击技术
END