雷神众测漏洞周报2024.1.15-2024.1.21
2024-1-22 15:21:17 Author: 雷神众测(查看原文) 阅读量:83 收藏

摘要

以下内容,均摘自于互联网,由于传播,利用此文所提供的信息而造成的任何直接或间接的后果和损失,均由使用者本人负责,雷神众测以及文章作者不承担任何责任。

雷神众测拥有该文章的修改和解释权。如欲转载或传播此文章,必须保证此文章的副本,包括版权声明等全部内容。声明雷神众测允许,不得任意修改或增减此文章内容,不得以任何方式将其用于商业目的。

目录

1.Atlassian Confluence Data Center and Server存在远程代码执行漏洞

2.Google Chrome V8 < 120.0.6099.224 越界内存访问漏洞

3.Microsoft Office执行代码漏洞

4.用友网络科技股份有限公司NC Cloud存在SQL注入漏洞

漏洞详情

1.Atlassian Confluence Data Center and Server存在远程代码执行漏洞

漏洞介绍:

Atlassian Confluence 是一款专为团队合作设计的内容协作软件。它使团队能够共同创建、分享和协作编辑文档,从而有效地管理项目知识和信息。Confluence 还集成了多种宏和插件,如日程表、任务列表和Jira集成。

漏洞危害:

该漏洞允许未经身份验证的攻击者构造恶意请求,对影响版本实现远程代码执行。

漏洞编号:

CVE-2023-22527

影响范围:

8.0.x

8.1.x

8.2.x

8.3.x

8.4.x

8.5.0-8.5.3

修复方案:

及时测试并升级到最新版本或升级版本

来源:安恒信息CERT

2.Google Chrome V8 < 120.0.6099.224 越界内存访问漏洞

漏洞介绍:

Google Chrome V8 是一个由Google开发的开源JavaScript引擎,用于Google Chrome及Chromium中。

漏洞危害:

Google Chrome 120.0.6099.224版本之前中,当通过runtime-object.cc的DeleteObjectPropertyFast删除对象属性时,可能未能正确处理内存或属性映射,导致越界内存访问漏洞。攻击者可以通过诱导用户访问恶意链接并利用此漏洞进行内存读取或写入,从而可能导致代码执行。

漏洞编号:

CVE-2024-0519

影响范围:

Chrome@(-∞, 120.0.6099.224)

chromium@(-∞, 120.0.6099.224)

chromium@影响所有版本

chromium@(-∞, 120.0.6099.224-1)

chromium-driver@(-∞, 120.0.6099.224-1~deb11u1)

chromium-l10n@(-∞, 120.0.6099.224-1~deb11u1)

chromium-sandbox@(-∞, 120.0.6099.224-1~deb11u1)

chromium@(-∞, 120.0.6099.224-1~deb11u1)

chromium@(-∞, 120.0.6099.224-1~deb12u1)

chromium-shell@(-∞, 120.0.6099.224-1~deb11u1)

chromium-common@(-∞, 120.0.6099.224-1~deb11u1)

chromium@(-∞, 120.0.6099.224-1)

chromium@影响所有版本

chromium@(-∞, 120.0.6099.224-1)

chromium@影响所有版本

修复方案:

及时测试并升级到最新版本或升级版本

来源:OSCS

3.Microsoft Office执行代码漏洞

漏洞介绍:

Microsoft Office是美国微软(Microsoft)公司的一款办公软件套件产品。该产品常用组件包括Word、Excel、Access、Powerpoint、FrontPage等。

漏洞危害:

Microsoft Office存在执行代码漏洞,攻击者可利用该漏洞在系统上执行任意代码。

漏洞编号:

CVE-2023-35371

影响范围:

Microsoft Office Online Server

Microsoft Office 2019

Microsoft Office 2019 for Mac

Microsoft 365 Apps for Enterprise

Microsoft Office LTSC 2021

Microsoft Office LTSC for Mac 2021

修复方案:

及时测试并升级到最新版本或升级版本

来源:CNVD

4.用友网络科技股份有限公司NC Cloud存在SQL注入漏洞

漏洞介绍:

NC Cloud是一款大型企业数字化平台, 聚焦数字化管理、数字化经营、数字化商业,帮助大型企业实现 人、财、物、客的全面数字化。

漏洞危害:

用友网络科技股份有限公司NC Cloud存在SQL注入漏洞,攻击者可利用该漏洞获取数据库敏感信息。

影响范围:

用友网络科技股份有限公司 NC Cloud

修复方案:

及时测试并升级到最新版本或升级版本

来源:CNVD

专注渗透测试技术

全球最新网络攻击技术

END


文章来源: http://mp.weixin.qq.com/s?__biz=MzI0NzEwOTM0MA==&mid=2652502748&idx=1&sn=b9b482a0148007f1f074796e0a40e483&chksm=f3524876c1bb35dfe808bc9d2ed3bdf12b7039c6359f06f1d0e6dbdd9f3b34de493f3418a4c3&scene=0&xtrack=1#rd
如有侵权请联系:admin#unsafe.sh