网络安全漏洞威胁通告 | 2023年3月

发布时间:2023-03-10浏览次数:615

  

     根据多个官方平台发布的最新数据安全公告,披露了互联网相关产品的安全漏洞情况,目前官方已发布相关漏洞的补丁或修复措施。

图片

1

图片

泛微ecology9 SQL注入漏洞

CNVD-ID

CNVD-2023-12632

公开日期

2023-02-28

危害级别

影响产品

上海泛微网络科技股份有限公司 Ecology9 <10.55

漏洞描述

Ecology9是泛微为中大型组织创建的全新的高效协同办公系统。

泛微ecology9存在SQL注入漏洞,攻击者可利用该漏洞获取数据库敏感信息。

漏洞类型

通用型漏洞

参考链接

https://www.seebug.org/vuldb/ssvid-99655

漏洞解决方案

厂商已发布了漏洞修复程序,请及时关注更新:

https://www.weaver.com.cn/

厂商补丁

https://www.cnvd.org.cn/patchInfo/show/411461

验证信息

(暂无验证信息)

02

图片

PHP Development Server信息泄露漏洞

CNVD-ID

CNVD-2023-05738

公开日期

2023-02-01

危害级别

影响产品

PHP PHP <=7.4.21

漏洞描述

PHP是广泛使用的通用目的的脚本语言,特别适用于Web开发,可嵌入到HTML中。

PHP Development Server存在信息泄露漏洞,该漏洞源于php cli server begin send static在解析http请求时存在逻辑漏洞,攻击者可利用该漏洞将两个请求拼接至一个http请求中导致服务器将php文件作为静态文件返回。

漏洞类型

通用型漏洞

参考链接

https://www.seebug.org/vuldb/ssvid-99638

漏洞解决方案

厂商已发布了漏洞修复程序,请及时关注更新:

http://www.php.net

厂商补丁

https://www.cnvd.org.cn/patchInfo/show/404441

验证信息

(暂无验证信息)

03

图片

phpwcms文件上传漏洞

CNVD-ID

CNVD-2023-09606

公开日期

2023-02-15

危害级别

影响产品

phpwcms phpwcms 1.9.25

漏洞描述

phpwcms是一个开源的Web内容管理系统。它快速,易于安装并可运行在任何支持PHP/MySQL的标准web服务器平台上。

phpwcms 1.9.25版本存在文件上传漏洞。远程攻击者可利用该漏洞通过向include/inc_lib/general.inc.php上传特制文件执行任意代码。

漏洞类型

通用型漏洞

参考链接

https://nvd.nist.gov/vuln/detail/CVE-2021-36426

漏洞解决方案

目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载: https://github.com/slackero/phpwcms/releases/tag/v1.9.34

厂商补丁

https://www.cnvd.org.cn/patchInfo/show/408796

验证信息

(暂无验证信息)

04

图片

Vim存在二进制漏洞

CNVD-ID

CNVD-2023-09647

公开日期

2023-02-19

危害级别

影响产品

Vim Vim 9.0.1143

漏洞描述

Vim是一款跨平台的文本编辑器。

Vim 9.0.1144之前的版本存在安全漏洞,该漏洞源于函数msg_puts_printf中的堆内存溢出,攻击者利用该漏洞可以触发拒绝服务,并可能运行代码。

漏洞类型

通用型漏洞

参考链接


漏洞解决方案

厂商已提供漏洞修补方案,请关注厂商主页及时更新:

https://github.com/vim/vim/commit/

c32949b0779106ed5710ae3bffc5053e49083ab4

厂商补丁

https://www.cnvd.org.cn/patchInfo/show/408811

验证信息

(暂无验证信息)

05

图片


Mozilla Firefox资源管理错误漏洞

CNVD-ID

CNVD-2023-06859

公开日期

2023-02-03

危害级别

影响产品

Mozilla Firefox <105.0

Mozilla Firefox ESR <102.3

Mozilla Thunderbird <102.3

漏洞描述

Mozilla Firefox是美国Mozilla基金会的一款开源Web浏览器。

Mozilla Firefox存在内存错误引用漏洞,该漏洞源于对非UTF-8数据的URL解析器的并发使用不是线程安全的。攻击者可利用该漏洞导致程序崩溃,任意代码执行等。

漏洞类型

通用型漏洞

参考链接

https://nvd.nist.gov/vuln/detail/CVE-2022-40960

漏洞解决方案

目前厂商已发布升级补丁以修复漏洞,补丁获取链接:

https://www.mozilla.org/en-US/security/advisories/mfsa2022-40/

厂商补丁

https://www.cnvd.org.cn/patchInfo/show/405271

验证信息

(暂无验证信息)

06

图片

Linux kernel存在未明漏洞

CNVD-ID

CNVD-2023-06474

公开日期

2023-02-03

危害级别

影响产品

Linux kernel >=2.6.12,<=6.1.4

漏洞描述

Linux kernel是美国Linux基金会的开源操作系统Linux所使用的内核。

Linux kernel存在安全漏洞,该漏洞源于类型混淆,从而导致拒绝服务。目前没有详细的漏洞细节提供。

漏洞类型

通用型漏洞

参考链接

https://nvd.nist.gov/vuln/detail/CVE-2023-23454

漏洞解决方案

厂商已发布了漏洞修复程序,请及时关注更新:

https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/linux.git/

commit/?id=caa4b35b4317d5147b3ab0fbdc9c075c7d2e9c12

厂商补丁

https://www.cnvd.org.cn/patchInfo/show/405391

验证信息

(暂无验证信息)

07

图片

Linux kernel存在未明漏洞

CNVD-ID

CNVD-2023-06532

公开日期

2023-02-03

危害级别

影响产品

Linux kernel <6.0

漏洞描述

Linux kernel是美国Linux基金会的开源操作系统Linux所使用的内核。

Linux kernel USB core subsystem存在安全漏洞,该漏洞源于不正确的访问控制,本地攻击者可以利用该漏洞使系统崩溃。

漏洞类型

通用型漏洞

参考链接

https://cxsecurity.com/cveshow/CVE-2022-4662/

漏洞解决方案

目前厂商已发布升级补丁以修复漏洞,补丁获取链接:

https://lore.kernel.org/all/20220913140355.910732567

@linuxfoundation.org/

厂商补丁

https://www.cnvd.org.cn/patchInfo/show/405441

验证信息

(暂无验证信息)

08

图片

F5 HTTP配置文件拒绝服务漏洞

CNVD-ID

CNVD-2023-05956

公开日期

2023-02-02

危害级别

影响产品

F5 BIG-IP (all modules) >=16.1.0,<=16.1.3

F5 BIG-IP (all modules) 17.0.0

漏洞描述

F5 BIG-IP是F5公司的一款集成了网络流量编排、负载均衡、智能DNS,远程接入策略管理等功能的应用交付平台。

F5 HTTP配置文件存在拒绝服务漏洞,当在虚拟服务器上配置了非默认的HTTP配置文件,且其中启用了强制HTTP合规性和拒绝未知方法的选项时,未公开的请求可能会导致TMM终止,攻击者可利用该漏洞造成拒绝服务。

漏洞类型

通用型漏洞

参考链接

https://my.f5.com/manage/s/article/K43881487

漏洞解决方案

厂商已发布了漏洞修复程序,请及时关注更新:

https://my.f5.com/manage/s/article/K43881487

厂商补丁

https://www.cnvd.org.cn/patchInfo/show/405111

验证信息

(暂无验证信息)

09

图片

Google Chrome越界读取漏洞

CNVD-ID

CNVD-2023-12022

公开日期

2023-02-16

危害级别

影响产品

Google Chrome <110.0.5481.77

漏洞描述

Google Chrome是美国谷歌(Google)公司的一款Web浏览器。

Google Chrome 110.0.5481.77之前版本存在越界读取漏洞。该漏洞源于WebRTC中对用户提供的数据缺乏适当的验证,特制数据可能会触发超过分配缓冲区末尾的读取。攻击者利用该漏洞通过特制的HTML页面执行越界内存读取。

漏洞类型

通用型漏洞

参考链接

https://nvd.nist.gov/vuln/detail/CVE-2023-0698

漏洞解决方案

厂商已发布了漏洞修复程序,请及时关注更新:

https://chromereleases.googleblog.com/2023/02/stable-channel-update-for-desktop.html

厂商补丁

https://www.cnvd.org.cn/patchInfo/show/409196

验证信息

(暂无验证信息)

10

图片

Linux kernel存在未明漏洞

CNVD-ID

CNVD-2023-06531

公开日期

2023-02-03

危害级别

影响产品

Linux kernel >=2.6.12,<=6.1.4

漏洞描述

Linux kernel是美国Linux基金会的开源操作系统Linux所使用的内核。

Linux kernel存在安全漏洞,该漏洞源于类型混淆,从而导致拒绝服务。目前没有详细的漏洞细节提供。

漏洞类型

通用型漏洞

参考链接

https://nvd.nist.gov/vuln/detail/CVE-2023-23455

漏洞解决方案

目前厂商已发布升级补丁以修复漏洞,补丁获取链接:

https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/linux.git/commit/id=a2965c7be0522eaa18808684b7b82b248515511b

厂商补丁

https://www.cnvd.org.cn/patchInfo/show/405436

验证信息

(暂无验证信息)

Baidu
map