|
1 ThingsBoard FreeMarker模板注入漏洞(CVE-2023-45303)
1、漏洞描述:
ThingsBoard是一个开源的物联网平台,可用于数据收集、处理、可视化和设备管理,支持云和本地安排。ThingsBoard 在 3.5 版本之前存在FreeMarker模板注入漏洞。经过身份认证的攻击者能够经过 /api/admin/settings 路由能够配置邮件模板,经过发送测试邮件触发漏洞,从而引起远程代码执行。 2、危害等级:
高危 3、影响范围:
ThingsBoard < 3.5 4、修复意见:
日前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://github.com/thingsboard/thingsboard/releases
2 Emlog 反序列化漏洞(CVE-2023-43291)
1、漏洞描述:
emlog是emlog个人研发者的一套基于PHP和MySQL的CMS建站系统。emlog pro v.2.1.15及之前版本存在安全漏洞,该漏洞源于不受信任数据反序列化准许远程攻击者经过特制的请求获取数据库敏锐信息乃至获取服务器权限。 2、危害等级:
高危 3、影响范围:
emlog pro <= v.2.1.15 4、修复意见:
日前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://www.emlog.net/download
3 urllib3 信息泄密漏洞(CVE-2023-43804)
1、漏洞描述:
urllib3 是Python 的一个加强版的HTTP 客户端研发包,它加强了Python 标准库中的非常多特性,包含: 线程安全连接池客户端SSL/TLS 验证.urllib3 不会特殊对待“Cookie” HTTP 标头,亦不会供给任何经过 HTTP 管理 cookie 的帮忙程序,这是用户的责任。然则,倘若用户无显式禁用重定向,则用户可能会指定“Cookie”标头,并在不知不觉中经过 HTTP 重定向将信息泄漏到区别的源。 2、危害等级:
高危 3、影响范围:
2
urllib3 <=1.26.16 4、修复意见:
日前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://pypi.org/project/urllib3/
4 Gradle XML外边实体注入漏洞(CVE-2023-42445)
1、漏洞描述:
Gradle是一种构建工具,可帮忙团队构建、自动化和交付更好的软件,加速研发人员的生产力。Gradle 在 7.6.3 和 8.4 版本之前存在XML外边实体注入漏洞。在某些状况下,当 Gradle 解析 XML 文件时,不会禁用解析 XML 外边实体。与带外 XXE 攻击 (OOB-XXE) 相结合,仅解析 XML 就可能引起本地文本文件泄密到远程服务器。 2、危害等级
:
高危 3、影响范围
:
Gradle < 7.6.3
Gradle < 8.4 4、修复意见:
日前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://github.com/gradle/gradle/releases
| 
发表于 2024-10-3 10:01:36