以下内容,均摘自于互联网,由于传播,利用此文所提供的信息而造成的任何直接或间接的后果和损失,均由使用者本人负责,雷神众测以及文章作者不承担任何责任。
雷神众测拥有该文章的修改和解释权。如欲转载或传播此文章,必须保证此文章的副本,包括版权声明等全部内容。声明雷神众测允许,不得任意修改或增减此文章内容,不得以任何方式将其用于商业目的。
目录
1.Spring Framework身份验证绕过漏洞
2.MinIO信息泄露漏洞
3.浙江大华技术股份有限公司智慧园区综合管理平台存在文件上传漏洞
4.Fortinet FortiWeb操作系统命令注入漏洞
漏洞详情
1.Spring Framework身份验证绕过漏洞
漏洞介绍:
Spring Framework是一个Java平台,为开发Java应用程序提供全面的基础架构支持。它提供了一种轻量级的、非侵入性的方式来构建基于Java的企业应用程序。
漏洞危害:
Spring Framework存在一处身份验证绕过漏洞,当Spring Security配置中用作"**"模式时,会导致Spring Security和Spring MVC之间的mvcRequestMatcher模式不匹配。允许未经身份验证的远程攻击者通过向目标发送构造的特制请求,实现身份验证绕过,进而访问后台信息。
漏洞编号:
CVE-2023-20860
影响范围:
Spring Framework 6.0.x <= 6.0.6
Spring Framework 5.3.x <= 5.3.25
修复方案:
及时测试并升级到最新版本或升级版本。
来源:安恒信息CERT
2.MinIO信息泄露漏洞
漏洞介绍:
MinIO 是一款高性能的对象存储服务器,它兼容 Amazon S3 API。它的设计目的是为了提供云存储服务的性能和可扩展性,同时还保持着本地存储的简单性和易用性。MinIO 可以在 Linux、MacOS 和 Windows 等操作系统上运行,它可以通过命令行界面或 RESTful API 进行管理。
漏洞危害:
在从 RELEASE2019-12-17T23-16-33Z 开始,在 RELEASE2023-03-20T20-16Z 之前的集群部署中,MinIO 返回所有环境变量,包括“MinIO_SSECRET_KEY”和“MinIO_ROOT_PASSWORD”,导致信息泄露。分布式部署的所有用户都会受到影响。
漏洞编号:
CVE-2023-28432
影响范围:
MinIO RELEASE.2019-12-17T23-16-33Z <= version < MinIO RELEASE.2023-03-20T20-16-18Z
修复建议:
及时测试并升级到最新版本或升级版本。
来源:安恒信息CERT
3.浙江大华技术股份有限公司智慧园区综合管理平台存在文件上传漏洞
漏洞介绍:
浙江大华技术股份有限公司,是全球领先的以视频为核心的智慧物联解决方案提供商和运营服务商。
漏洞危害:
浙江大华技术股份有限公司智慧园区综合管理平台存在文件上传漏洞,攻击者可利用该漏洞获取服务器控制权。
影响范围:
浙江大华技术股份有限公司 智慧园区综合管理平台 V3.001.0000004.8.R.1672347
浙江大华技术股份有限公司 智慧园区综合管理平台 V3.001.0000004.15.R.2128582
浙江大华技术股份有限公司 智慧园区综合管理平台 V3.001.0000003.9.R.1349920
修复方案:
及时测试并升级到最新版本或升级版本。
来源:CNVD
4.Fortinet FortiWeb操作系统命令注入漏洞
漏洞介绍:
Fortinet FortiWeb是美国飞塔(Fortinet)公司的一款Web应用层防火墙,它能够阻断如跨站点脚本、SQL注入、Cookie中毒、schema中毒等攻击的威胁,保证Web应用程序的安全性并保护敏感的数据库内容。
漏洞危害:
Fortinet FortiWeb存在操作系统命令注入漏洞,攻击者可利用该漏洞通过专门设计的HTTP请求执行未经授权的代码或命令。
漏洞编号:
CVE-2022-39951
影响范围:
Fortinet FortiWeb 6.4
Fortinet FortiWeb >=7.0.0,<=7.0.2
Fortinet FortiWeb >=6.3.6,<=6.3.20
修复方案:
及时测试并升级到最新版本或升级版本。
来源:CNVD
专注渗透测试技术
全球最新网络攻击技术
END
如有侵权请联系:admin#unsafe.sh