雷神众测漏洞周报2023.12.04-2023.12.10
2023-12-13 15:19:8 Author: 雷神众测(查看原文) 阅读量:17 收藏

摘要

以下内容,均摘自于互联网,由于传播,利用此文所提供的信息而造成的任何直接或间接的后果和损失,均由使用者本人负责,雷神众测以及文章作者不承担任何责任。

雷神众测拥有该文章的修改和解释权。如欲转载或传播此文章,必须保证此文章的副本,包括版权声明等全部内容。声明雷神众测允许,不得任意修改或增减此文章内容,不得以任何方式将其用于商业目的。

目录

1.Atlassian Confluence远程代码执行漏洞

2.Apache Struts文件上传组件存在目录遍历漏洞

3.北京万户网络技术有限公司ezEip系统存在命令执行漏洞

4.亿赛通电子文档安全管理系统代码执行漏洞

漏洞详情

1.Atlassian Confluence远程代码执行漏洞

漏洞介绍:

Confluence 是一个专业的企业知识管理与协同软件,也可以用于构建企业wiki。使用简单,它强大的编辑和站点管理特征能够帮助团队成员之间共享信息、文档协作、集体讨论,信息推送。

漏洞危害:

该漏洞允许经过身份验证的攻击者(包括具有匿名访问权限的攻击者)将不安全的用户输入注入 Confluence 页面,从而在受影响的实例上实现远程代码执行,获取服务器权限。

漏洞编号:

CVE-2023-22522

影响范围:

Confluence Data Center

Confluence Server

4.x.x

5.x.x

6.x.x

7.x.x

8.0.x

8.1.x

8.2.x

8.3.x

8.4.0

8.4.1

8.4.2

8.4.3

8.4.4

8.5.0

8.5.1

8.5.2

8.5.3

8.6.0

8.6.1

修复方案:

及时测试并升级到最新版本或升级版本

来源:安恒信息CERT

2.Apache Struts文件上传组件存在目录遍历漏洞

漏洞介绍:

Apache Struts 是一个免费、开源的MVC框架,用于创建优雅、现代的Java Web应用程序。它支持约定优于配置,可使用插件架构进行扩展,并附带支持REST、AJAX和JSON的插件。

漏洞危害:

攻击者可以操纵文件上传参数来启用路径遍历,在某些情况下这可能会导致上传用于执行远程代码的恶意文件。

漏洞编号:

CVE-2023-50164

影响范围:

Apache Struts [2.0.0 , 2.5.32]

Apache Struts [6.0.0 , 6.3.0.1]

修复方案:

及时测试并升级到最新版本或升级版本

来源:安恒信息CERT

3.北京万户网络技术有限公司ezEip系统存在命令执行漏洞

漏洞介绍:

ezEip系统是一款企业网站管理系统。

漏洞危害:

北京万户网络技术有限公司ezEip系统存在命令执行漏洞,攻击者可利用该漏洞获取服务器权限。

影响范围:

北京万户网络技术有限公司 ezEip系统 4.0

修复方案:

及时测试并升级到最新版本或升级版本

来源:CNVD

4.亿赛通电子文档安全管理系统代码执行漏洞

漏洞介绍:

亿赛通新一代电子文档安全管理系统(简称:CDG)是一款融合文档加密、数据分类分级、访问控制、关联分析、大数据分析、智能识别等核心技术的综合性数据智能安全产品。

漏洞危害:

攻击者可构造恶意请求绕过身份认证,结合相关功能造成远程代码执行。

影响范围:

亿赛通电子文档安全管理系统

修复方案:

及时测试并升级到最新版本或升级版本

来源:阿里云漏洞库

专注渗透测试技术

全球最新网络攻击技术

END


文章来源: http://mp.weixin.qq.com/s?__biz=MzI0NzEwOTM0MA==&mid=2652502680&idx=2&sn=3a0441a35fa9450eb1f2c27ba118451c&chksm=f32a8e61416688923b3167ce66a21b91f8e2c2ea04ee241300a53e61650aa7da62d9219984ae&scene=0&xtrack=1#rd
如有侵权请联系:admin#unsafe.sh