雷神众测漏洞周报2023.04.24-2023.05.03
2023-5-4 15:3:9 Author: 雷神众测(查看原文) 阅读量:18 收藏

以下内容,均摘自于互联网,由于传播,利用此文所提供的信息而造成的任何直接或间接的后果和损失,均由使用者本人负责,雷神众测以及文章作者不承担任何责任。

雷神众测拥有该文章的修改和解释权。如欲转载或传播此文章,必须保证此文章的副本,包括版权声明等全部内容。声明雷神众测允许,不得任意修改或增减此文章内容,不得以任何方式将其用于商业目的。

目录

1.VMware Workstation/Fusion 漏洞

2.PowerJob远程代码执行漏洞

3.Microsoft PostScript and PCL6 Class Printer Driver远程代码执行漏洞

4.Apache Linkis反序列化漏洞

漏洞详情

1.VMware Workstation/Fusion 漏洞

漏洞介绍:

VMware Workstation是一款功能强大的桌面虚拟计算机软件,提供用户可在单一的桌面上同时运行不同的操作系统,和进行开发、测试 、部署新的应用程序的最佳解决方案。

VMware Fusion是VMware为Macintosh计算机开发的虚拟机管理程序。VMware Fusion允许基于Intel的Mac在虚拟机上运行Microsoft Windows,Linux,NetWare或Solaris等操作系统。

漏洞危害:

该漏洞存在于VMware Workstation和Fusion 的虚拟机共享主机蓝牙设备的功能中,是一个基于堆栈的缓冲区溢出漏洞。具有本地虚拟机管理权限的远程攻击者可利用此漏洞通过主机上运行的虚拟机VMX进程执行代码。

漏洞编号:

CVE-2023-20869

影响范围:

VMware:Workstation 17.x < 17.0.2

VMware:Fusion 13.x < 13.0.2

修复方案:

及时测试并升级到最新版本或升级版本

来源:360CERT

2.PowerJob远程代码执行漏洞

漏洞介绍:

PowerJob是一个开源的分布式计算和作业调度框架,允许开发人员在自己的应用程序中轻松调度任务。

漏洞危害:

PowerJob在V4.3.2版本中存在远程代码执行漏洞。受影响版本由于具有未经授权的接口,导致远程代码执行漏洞。攻击者利用该漏洞执行任意代码。

漏洞编号:

CVE-2023-29926

影响范围:

PowerJob PowerJob V4.3.2

修复建议:

及时测试并升级到最新版本或升级版本。

来源:CNVD

3.Microsoft PostScript and PCL6 Class Printer Driver远程代码执行漏洞

漏洞介绍:

Microsoft PostScript Printer Driver是美国微软(Microsoft)公司的用于PostScript打印机的Microsoft标准打印机驱动程序。Microsoft PCL6 Class Printer Driver是美国微软(Microsoft)公司的一个打印机驱动软件。

漏洞危害:

Microsoft PostScript and PCL6 Class Printer Driver存在远程代码执行漏洞,攻击者可利用该漏洞远程执行代码。

漏洞编号:

CVE-2023-24913

影响范围:

Microsoft Windows 10

Microsoft Windows 10 1607

Microsoft Windows Server 2016

Microsoft Windows Server 2019

Microsoft Windows 10 1809

Microsoft Windows 10 20H2

Microsoft Windows Server 2012

Microsoft Windows Server 2022

Microsoft Windows 10 21H2

Microsoft Windows Server 2012 R2

Microsoft Windows 11 22H2

Microsoft Windows 10 22H2

Microsoft Windows 11 21H2

修复方案:

时测试并升级到最新版本或升级版本。

来源:CNVD

4.Apache Linkis反序列化漏洞

漏洞介绍:

Apache Linkis是美国阿帕奇(Apache)基金会的一个库。有助于轻松连接各种后端计算/存储引擎。

漏洞危害:

Apache Linkis 1.3.1及之前版本存在反序列化漏洞,该漏洞源于缺乏有效的过滤的参数,攻击者可利用该漏洞使用MySQL数据源和恶意参数配置新数据源来触发反序列化,导致远程代码执行。

漏洞编号:

CVE-2023-29216

影响范围:

Apache linkis <=1.3.1

修复方案:

及时测试并升级到最新版本或升级版本。

来源:CNVD

专注渗透测试技术

全球最新网络攻击技术

END


文章来源: http://mp.weixin.qq.com/s?__biz=MzI0NzEwOTM0MA==&mid=2652501882&idx=1&sn=ce8fbf6b948abc55737bec131ca2b9a6&chksm=f25854c9c52fdddf0bc3a4a0dde3c87e19e95dde5d0be8b04849ccb72411e0a40e47136aa3a9#rd
如有侵权请联系:admin#unsafe.sh