以下内容,均摘自于互联网,由于传播,利用此文所提供的信息而造成的任何直接或间接的后果和损失,均由使用者本人负责,雷神众测以及文章作者不承担任何责任。
雷神众测拥有该文章的修改和解释权。如欲转载或传播此文章,必须保证此文章的副本,包括版权声明等全部内容。声明雷神众测允许,不得任意修改或增减此文章内容,不得以任何方式将其用于商业目的。
目录
1.Smartbi远程命令执行漏洞
2.Google Chrome iframe Sandbox代码问题漏洞
3.Adobe Animate堆缓冲区溢出漏洞
4.Siemens TIA Project-Server formerly不受信任搜索路径漏洞
漏洞详情
1.Smartbi远程命令执行漏洞
漏洞介绍:
Smartbi是企业级的商务智能BI和大数据分析品牌,满足企业级别报告、数据可视化分析、自助分析、数据挖掘建模、AI智能分析等大数据分析需求。Smartbi大数据分析产品融合BI定义的所有阶段,对接各种业务数据库、数据仓库和大数据分析平台,进行加工处理、分析挖掘和可视化展现;满足所有用户的各种数据分析应用需求,如大数据分析、可视化分析、探索式分析、复杂报表、应用分享等等。
漏洞危害:
Smartbi大数据分析平台存在一处远程命令执行漏洞,该漏洞是对Smartbi DB2命令执行漏洞的补丁绕过,允许未经身份验证的攻击者通过构造特制的请求来实现远程命令执行,进而获取服务器权限。
影响范围:
V7.0< Smartbi < V10.5.8
修复方案:
及时测试并升级到最新版本或升级版本。
来源:安恒CERT
2.Google Chrome iframe Sandbox代码问题漏洞
漏洞介绍:
Google Chrome是美国谷歌(Google)公司的一款Web浏览器。
漏洞危害:
Google Chrome 109.0.5414.74之前的版本存在代码问题漏洞,该漏洞源于其iframe Sandbox不恰当的实现,远程攻击者可利用该漏洞通过精心制作的HTML页面绕过文件下载限制。
漏洞编号:
CVE-2023-0131
影响范围:
Google Chrome <109.0.5414.74
修复方案:
及时测试并升级到最新版本或升级版本。
来源:
CNVD
3. Adobe Animate堆缓冲区溢出漏洞
漏洞介绍:
VAdobe Animate是美国奥多比(Adobe)公司的一套Flash动画制作软件。
漏洞危害:
Adobe Animate存在堆缓冲区溢出漏洞,攻击者可利用该漏洞在当前用户的上下文中执行任意代码。
漏洞编号:
CVE-2023-22236
影响范围:
Adobe Adobe Animate 2022 <=22.0.8
Adobe Adobe Animate 2023 <=23.0.0
修复建议:
及时测试并升级到最新版本或升级版本。
来源:CNVD
4.Siemens TIA Project-Server formerly不受信任搜索路径漏洞
漏洞介绍:
TIA Project Server(以前称为TIA Multiuser Server)是德国西门子(Siemens)公司的一个全集成自动化多用户应用程序。
漏洞危害:
Siemens TIA Project-Server formerly存在不受信任搜索路径漏洞,攻击者可利用该漏洞提升权限。
漏洞编号:
CVE-2022-35868
影响范围:
SIEMENS TIA Multiuser Server 14 null
SIEMENS TIA Multiuser Server V15<v15.1 update="" 8<="" div="">
Siemens TIA Project-Serve
Siemens TIA Project-Server V17
Siemens TIA Project-Server V16
修复建议:
及时测试并升级到最新版本。
来源:CNVD
专注渗透测试技术
全球最新网络攻击技术
END