摘要
以下内容,均摘自于互联网,由于传播,利用此文所提供的信息而造成的任何直接或间接的后果和损失,均由使用者本人负责,雷神众测以及文章作者不承担任何责任。
雷神众测拥有该文章的修改和解释权。如欲转载或传播此文章,必须保证此文章的副本,包括版权声明等全部内容。声明雷神众测允许,不得任意修改或增减此文章内容,不得以任何方式将其用于商业目的。
目录
1.PHP CGI Windows下远程代码执行漏洞
2.Apache OFBiz < 18.12.14 路径遍历漏洞
3.北京亿赛通科技发展有限责任公司亿赛通电子文档安全管理系统存在SQL注入漏洞
4.普元信息技术股份有限公司业务综合管理平台存在命令执行漏洞
漏洞详情
1.PHP CGI Windows下远程代码执行漏洞
漏洞介绍:
PHP是一种在服务器端执行的脚本语言。
漏洞危害:
在 PHP 的 8.3.8 版本之前存在命令执行漏洞,由于 Windows 的 "Best-Fit Mapping" 特性,在处理查询字符串时,非 ASCII 字符可能被错误地映射为破折号(-),导致命令行参数解析错误。
当 php_cgi 运行在 Windows 平台上,且代码页为繁体中文、简体中文或日文时,攻击者可以通过特定的查询字符串注入恶意参数,从而执行任意代码。
漏洞编号:
CVE-2024-4577
影响范围:
php@[8.3, 8.3.8)
php@[8.2, 8.2.20)
php@(-∞, 8.1.29)
php7.4@影响所有版本
php8.2@影响所有版本
php7.3@影响所有版本
php8.2@影响所有版本
php7.4@影响所有版本
php7.3@影响所有版本
修复方案:
将组件 php 升级至 8.3.8 及以上版本
将组件 php 升级至 8.2.20 及以上版本
将组件 php 升级至 8.1.29 及以上版本
来源:OSCS
2.Apache OFBiz < 18.12.14 路径遍历漏洞
漏洞介绍:
Apache OFBiz 是一个开源的企业资源计划系统,OFBiz支持运行Groovy代码用于编程导出数据。
漏洞危害:
Apache OFBiz 18.12.14之前版本存在命令执行漏洞,该漏洞源于 org.apache.ofbiz.webapp.control.ControlFilter 类对路径(请求URL中的特殊字符(如 ;、%2e)限制不当导致攻击者能够绕过后台功能点的过滤器验证,并通过 /webtools/control/ProgramExport 接口的编程导出功能执行任意Groovy代码获取系统权限。
修复版本中,通过改进 /webtools/control/ProgramExport 接口的访问控制并增强权限验证,以修复漏洞。
漏洞编号:
CVE-2024-36104
影响范围:
ofbiz@(-∞, 18.12.14)
修复方案:
及时测试并升级到最新版本或升级版本
来源:OSCS
3.北京亿赛通科技发展有限责任公司亿赛通电子文档安全管理系统存在SQL注入漏洞
漏洞介绍:
北京亿赛通科技发展有限责任公司是国内数据安全、网络安全及安全服务三大业务提供商。
漏洞危害:
北京亿赛通科技发展有限责任公司亿赛通电子文档安全管理系统存在SQL注入漏洞,攻击者可利用该漏洞获取数据库敏感信息。
影响范围:
北京亿赛通科技发展有限责任公司 亿赛通电子文档安全管理系统 <=5.6.1
修复方案:
及时测试并升级到最新版本或升级版本
来源:CNVD
4.普元信息技术股份有限公司业务综合管理平台存在命令执行漏洞
漏洞介绍:
普元信息技术股份有限公司是专业的软件基础平台产品及解决方案提供商。
漏洞危害:
普元信息技术股份有限公司业务综合管理平台存在命令执行漏洞,攻击者可利用该漏洞获取服务器控制权。
影响范围:
普元信息技术股份有限公司 业务综合管理平台
修复方案:
及时测试并升级到最新版本或升级版本
来源:CNVD
专注渗透测试技术
全球最新网络攻击技术
END