01
CNVD-ID | CNVD-2023-74817 |
公开日期 | 2023-10-08 |
危害级别 | 高 |
影响产品 | WordPress Web Stories <1.25.0 |
CVE-ID | CVE-2022-3708 |
漏洞描述 | WordPress Web Stories plugin 1.25.0之前版本存在输入验证错误漏洞,该漏洞源于其/v1/hotlink/proxy REST API端点的url参数对URL验证不足,攻击者可利用漏洞可以向来自web应用程序的任意位置发出web请求,并可用于查询和修改来自内部服务的信息。 |
漏洞类型 | 通用型漏洞 |
参考链接 | https://www.wordfence.com/vulnerability-advisories-continued/#CVE-2022-3708 |
漏洞解决方案 | 目前厂商已发布升级补丁以修复漏洞,补丁获取链接: https://www.wordfence.com/vulnerability-advisories-continued/#CVE-2022-3708 |
厂商补丁 | https://www.wordfence.com/vulnerability-advisories-continued/#CVE-2022-3708 |
验证信息 | (暂无验证信息) |
02
Microsoft Excel代码执行漏洞
CNVD-ID | CNVD-2023-80162 |
公开日期 | 2023-10-25 |
危害级别 | 高 |
影响产品 | Microsoft Office 2019 for Mac Microsoft 365 Apps for Enterprise Microsoft Office LTSC 2021 Microsoft Office LTSC for Mac 2021 Microsoft Microsoft Office for Universal |
CVE ID | CVE-2023-33158 |
漏洞描述 | Microsoft Office Excel存在代码执行漏洞,攻击者可利用该漏洞在系统上执行任意代码。 |
漏洞类型 | 通用型漏洞 |
参考链接 | https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-33158multiple-vulnerabilities |
漏洞解决方案 | 厂商已发布了漏洞修复程序,请及时关注更新: https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-33158 |
厂商补丁 | https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-33158 |
验证信息 | (暂无验证信息) |
03
Apache Airflow授权问题漏洞
CNVD-ID | CNVD-2023-80561 |
公开日期 | 2023-10-25 |
危害级别 | 中 |
影响产品 | Apache Airflow <2.7.2 |
CVE ID | CVE-2023-42792 |
漏洞描述 | Apache Airflow存在授权问题漏洞,该漏洞源于允许对某些DAG具有有限访问权限的经过身份验证的用户构造一个请求,该请求可以授予用户对用户无权访问的DAG的各种DAG资源的写访问权限。攻击者可利用该漏洞能够清除他们不应该清除的DAG。 |
漏洞类型 | 通用型漏洞 |
参考链接 | https://nvd.nist.gov/vuln/detail/CVE-2023-35670 |
漏洞解决方案 | 厂商已发布了漏洞修复程序,请及时关注更新: https://lists.apache.org/thread/1spbo9nkn49fc2hnxqm9tf6mgqwp9tjq |
厂商补丁 | https://lists.apache.org/thread/1spbo9nkn49fc2hnxqm9tf6mgqwp9tjq |
验证信息 | (暂无验证信息) |
04
WordPress Quiz And Survey Master SQL注入漏洞
CNVD-ID | CNVD-2023-74814 |
公开日期 | 2023-10-08 |
危害级别 | 高 |
影响产品 | WordPress Quiz And Survey Master <=7.3.4 |
CVE ID | CVE-2021-36898 |
漏洞描述 | WordPress Quiz And Survey Master plugin 7.3.4及其之前版本存在SQL注入漏洞,该漏洞源于应用缺少对外部输入SQL语句的验证。攻击者可利用该漏洞执行非法SQL命令窃取数据库数据。 |
漏洞类型 | 通用型漏洞 |
参考链接 | https://patchstack.com/database/vulnerability/quiz-master-next/wordpress-quiz-and-survey-master-plugin-7-3-4-auth-sql-injection-sqli-vulnerability?_s_id=cve |
漏洞解决方案 | 厂商尚未提供漏洞修复方案,请关注厂商主页更新: https://wordpress.org/plugins/quiz-master-next/#developers |
厂商补丁 | https://wordpress.org/plugins/quiz-master-next/#developers |
验证信息 | (暂无验证信息) |
05
Apache InLong数据伪造问题漏洞
CNVD-ID | CNVD-2023-80560 |
公开日期 | 2023-10-25 |
危害级别 | 中 |
影响产品 | Apache Apache InLong >=1.4.0,<=1.8.0 |
CVE ID | CVE-2023-43666 |
漏洞描述 | Apache InLong 1.4.0到1.8.0版本存在数据伪造问题漏洞,该漏洞源于网络系统或产品未充分验证数据的来源或真实性。攻击者可利用该漏洞可以像管理员帐户一样查看所有用户数据。 |
漏洞类型 | 通用型漏洞 |
参考链接 | https://nvd.nist.gov/vuln/detail/CVE-2023-43666 |
漏洞解决方案 | 厂商已发布了漏洞修复程序,请及时关注更新: https://lists.apache.org/thread/scbgh3ty3xcxm3q33r2t9f42gwwo1why |
厂商补丁 | https://lists.apache.org/thread/scbgh3ty3xcxm3q33r2t9f42gwwo1why |
验证信息 | (暂无验证信息) |
06
Apache InLong代码问题漏洞
CNVD-ID | CNVD-2023-80559 |
公开日期 | 2023-10-25 |
危害级别 | 高 |
影响产品 | Apache Apache InLong >=1.4.0,<=1.8.0 |
CVE ID | CVE-2023-43668 |
漏洞描述 | Apache InLong是美国阿帕奇(Apache)基金会的一站式的海量数据集成框架。提供自动化、安全、可靠的数据传输能力。 Apache InLong 1.4.0到1.8.0版本存在代码问题漏洞,该漏洞源于一些敏感参数检查可以被绕过,攻击者可利用该漏洞进行授权绕过。 |
漏洞类型 | 通用型漏洞 |
参考链接 | https://nvd.nist.gov/vuln/detail/CVE-2023-43668 |
漏洞解决方案 | |
厂商补丁 | https://lists.apache.org/thread/16gtk7rpdm1rof075ro83fkrnhbzn5sh |
验证信息 | (暂无验证信息) |
07
Linux Kernel eBPF本地权限提升漏洞
CNVD-ID | CNVD-2023-74539 |
公开日期 | 2023-10-07 |
危害级别 | 中 |
影响产品 | Linux Linux Kernel <6.3 |
漏洞描述 | |
漏洞类型 | 通用型漏洞 |
参考链接 | https://www.zerodayinitiative.com/advisories/ZDI-23-1489/ |
漏洞解决方案 | 厂商已发布了漏洞修复程序,请及时关注更新: https://lore.kernel.org/all/20230121002241.2113993-1-memxor@gmail.com/ |
厂商补丁 | https://lore.kernel.org/all/20230121002241.2113993-1-memxor@gmail.com/ |
验证信息 | (暂无验证信息) |
08
Oracle Application Expresss存在未明漏洞
CNVD-ID | CNVD-2023-78610 |
公开日期 | 2023-10-20 |
危害级别 | 高 |
影响产品 | |
CVE ID | CVE-2023-21975 |
漏洞描述 | Oracle Application Express的Application Express Customers Plugin存在安全漏洞,攻击者可利用此漏洞导致Application Express客户插件被接管。 |
漏洞类型 | 通用型漏洞 |
参考链接 | https://www.oracle.com/security-alerts/cpujul2023.html |
漏洞解决方案 | 厂商已发布了漏洞修复程序,请及时关注更新: https://www.oracle.com/security-alerts/cpujul2023.html |
厂商补丁 | https://www.oracle.com/security-alerts/cpujul2023.html |
验证信息 | (暂无验证信息) |
09
Microsoft Office权限提升漏洞
CNVD-ID | CNVD-2023-80167 |
公开日期 | 2023-10-26 |
危害级别 | 高 |
影响产品 | Microsoft Office 2019 Microsoft 365 Apps for Enterprise Microsoft Office LTSC 2021 |
CVE-ID | CVE-2023-36569 |
漏洞描述 | Microsoft Office是美国微软(Microsoft)公司的一款办公软件套件产品。该产品常用组件包括Word、Excel、Access、Powerpoint、FrontPage等。 Microsoft Office存在权限提升漏洞,攻击者可利用该漏洞升级权限。 |
漏洞类型 | 通用型漏洞 |
参考链接 | https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-36569 |
漏洞解决方案 | 厂商已发布了漏洞修复程序,请及时关注更新: https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-36569 |
厂商补丁 | https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-36569 |
验证信息 | (暂无验证信息) |
10
Apache ActiveMQ远程代码执行漏洞
CNVD-ID | CNVD-2023-80853 |
公开日期 | 2023-10-26 |
危害级别 | 高 |
影响产品 | Apache ActiveMQ < 5.18.3 |
漏洞描述 | Apache ActiveMQ存在远程代码执行漏洞,当未经身份认证的攻击者可利用该漏洞访问Apache ActiveMQ的端口,通过发送恶意数据在远程服务器上执行代码,进而控制服务器。 |
漏洞类型 | 通用型漏洞 |
参考链接 | https://github.com/apache/activemq/tags |
漏洞解决方案 | 用户可参考如下供应商提供的安全公告获得补丁信息: https://github.com/apache/activemq/tags |
厂商补丁 | https://github.com/apache/activemq/tags |
验证信息 | (暂无验证信息) |