网络安全漏洞威胁通告‖2023年11月

发布时间:2023-10-30浏览次数:98

01

WordPress Web Stories plugin输入验证错误漏洞

CNVD-ID

CNVD-2023-74817

公开日期

2023-10-08

危害级别


影响产品

WordPress Web Stories <1.25.0

CVE-ID

CVE-2022-3708

漏洞描述

WordPress Web Stories plugin 1.25.0之前版本存在输入验证错误漏洞,该漏洞源于其/v1/hotlink/proxy REST API端点的url参数对URL验证不足,攻击者可利用漏洞可以向来自web应用程序的任意位置发出web请求,并可用于查询和修改来自内部服务的信息。

漏洞类型

通用型漏洞

参考链接

https://www.wordfence.com/vulnerability-advisories-continued/#CVE-2022-3708

漏洞解决方案

目前厂商已发布升级补丁以修复漏洞,补丁获取链接:

https://www.wordfence.com/vulnerability-advisories-continued/#CVE-2022-3708

厂商补丁

https://www.wordfence.com/vulnerability-advisories-continued/#CVE-2022-3708

验证信息

(暂无验证信息)


02

Microsoft Excel代码执行漏洞

CNVD-ID

CNVD-2023-80162

公开日期

2023-10-25

危害级别


影响产品

Microsoft Office 2019 for Mac

Microsoft 365 Apps for Enterprise

Microsoft Office LTSC 2021

Microsoft Office LTSC for Mac 2021

Microsoft Microsoft Office for Universal

CVE ID

CVE-2023-33158

漏洞描述

Microsoft Office Excel存在代码执行漏洞,攻击者可利用该漏洞在系统上执行任意代码。

漏洞类型

通用型漏洞

参考链接

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-33158multiple-vulnerabilities

漏洞解决方案

厂商已发布了漏洞修复程序,请及时关注更新:

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-33158

厂商补丁

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-33158

验证信息

(暂无验证信息)

    

03

Apache Airflow授权问题漏洞

CNVD-ID

CNVD-2023-80561

公开日期

2023-10-25

危害级别


影响产品

Apache Airflow <2.7.2

CVE ID

CVE-2023-42792

漏洞描述

Apache Airflow存在授权问题漏洞,该漏洞源于允许对某些DAG具有有限访问权限的经过身份验证的用户构造一个请求,该请求可以授予用户对用户无权访问的DAG的各种DAG资源的写访问权限。攻击者可利用该漏洞能够清除他们不应该清除的DAG。

漏洞类型

通用型漏洞

参考链接

https://nvd.nist.gov/vuln/detail/CVE-2023-35670

漏洞解决方案

厂商已发布了漏洞修复程序,请及时关注更新:

https://lists.apache.org/thread/1spbo9nkn49fc2hnxqm9tf6mgqwp9tjq

厂商补丁

https://lists.apache.org/thread/1spbo9nkn49fc2hnxqm9tf6mgqwp9tjq

验证信息

(暂无验证信息)

     

04

WordPress Quiz And Survey Master SQL注入漏洞

CNVD-ID

CNVD-2023-74814

公开日期

2023-10-08

危害级别


影响产品

WordPress Quiz And Survey Master <=7.3.4

CVE ID

CVE-2021-36898

漏洞描述

WordPress Quiz And Survey Master plugin 7.3.4及其之前版本存在SQL注入漏洞,该漏洞源于应用缺少对外部输入SQL语句的验证。攻击者可利用该漏洞执行非法SQL命令窃取数据库数据。

漏洞类型

通用型漏洞

参考链接

https://patchstack.com/database/vulnerability/quiz-master-next/wordpress-quiz-and-survey-master-plugin-7-3-4-auth-sql-injection-sqli-vulnerability?_s_id=cve

漏洞解决方案

厂商尚未提供漏洞修复方案,请关注厂商主页更新:

https://wordpress.org/plugins/quiz-master-next/#developers

厂商补丁

https://wordpress.org/plugins/quiz-master-next/#developers

验证信息

(暂无验证信息)

     

05

Apache InLong数据伪造问题漏洞

CNVD-ID

CNVD-2023-80560

公开日期

2023-10-25

危害级别


影响产品

Apache Apache InLong >=1.4.0,<=1.8.0

CVE ID

CVE-2023-43666

漏洞描述

Apache InLong 1.4.0到1.8.0版本存在数据伪造问题漏洞,该漏洞源于网络系统或产品未充分验证数据的来源或真实性。攻击者可利用该漏洞可以像管理员帐户一样查看所有用户数据。

漏洞类型

通用型漏洞

参考链接

https://nvd.nist.gov/vuln/detail/CVE-2023-43666

漏洞解决方案

厂商已发布了漏洞修复程序,请及时关注更新:

https://lists.apache.org/thread/scbgh3ty3xcxm3q33r2t9f42gwwo1why

厂商补丁

https://lists.apache.org/thread/scbgh3ty3xcxm3q33r2t9f42gwwo1why

验证信息

(暂无验证信息)

     

06

Apache InLong代码问题漏洞

CNVD-ID

CNVD-2023-80559

公开日期

2023-10-25

危害级别


影响产品

Apache Apache InLong >=1.4.0,<=1.8.0

CVE ID

CVE-2023-43668

漏洞描述

Apache InLong是美国阿帕奇(Apache)基金会的一站式的海量数据集成框架。提供自动化、安全、可靠的数据传输能力。

Apache InLong 1.4.0到1.8.0版本存在代码问题漏洞,该漏洞源于一些敏感参数检查可以被绕过,攻击者可利用该漏洞进行授权绕过。

漏洞类型

通用型漏洞

参考链接

https://nvd.nist.gov/vuln/detail/CVE-2023-43668

漏洞解决方案

厂商已发布了漏洞修复程序,请及时关注更新:
https://lists.apache.org/thread/16gtk7rpdm1rof075ro83fkrnhbzn5sh

厂商补丁

https://lists.apache.org/thread/16gtk7rpdm1rof075ro83fkrnhbzn5sh

验证信息

(暂无验证信息)

     

07

Linux Kernel eBPF本地权限提升漏洞

CNVD-ID

CNVD-2023-74539

公开日期

2023-10-07

危害级别


影响产品

Linux Linux Kernel <6.3

漏洞描述

Linux Kernel是一款开源的操作系统。
Linux Kernel eBPF处理存在安全漏洞,本地攻击者可利用改漏洞提交特殊的请求,可提升权限。

漏洞类型

通用型漏洞

参考链接

https://www.zerodayinitiative.com/advisories/ZDI-23-1489/

漏洞解决方案

厂商已发布了漏洞修复程序,请及时关注更新:

https://lore.kernel.org/all/20230121002241.2113993-1-memxor@gmail.com/

厂商补丁

https://lore.kernel.org/all/20230121002241.2113993-1-memxor@gmail.com/

验证信息

(暂无验证信息)


08

Oracle Application Expresss存在未明漏洞

CNVD-ID

CNVD-2023-78610

公开日期

2023-10-20

危害级别


影响产品

Oracle Application Express Customers Plugin >=18.2,<=22.2

CVE ID

CVE-2023-21975

漏洞描述

Oracle Application Express的Application Express Customers Plugin存在安全漏洞,攻击者可利用此漏洞导致Application Express客户插件被接管。

漏洞类型

通用型漏洞

参考链接

https://www.oracle.com/security-alerts/cpujul2023.html

漏洞解决方案

厂商已发布了漏洞修复程序,请及时关注更新:

https://www.oracle.com/security-alerts/cpujul2023.html

厂商补丁

https://www.oracle.com/security-alerts/cpujul2023.html

验证信息

(暂无验证信息)

   

09

Microsoft Office权限提升漏洞

CNVD-ID

CNVD-2023-80167

公开日期

2023-10-26

危害级别


影响产品

Microsoft Office 2019

Microsoft 365 Apps for Enterprise

Microsoft Office LTSC 2021

CVE-ID

CVE-2023-36569

漏洞描述

Microsoft Office是美国微软(Microsoft)公司的一款办公软件套件产品。该产品常用组件包括Word、Excel、Access、Powerpoint、FrontPage等。

Microsoft Office存在权限提升漏洞,攻击者可利用该漏洞升级权限。

漏洞类型

通用型漏洞

参考链接

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-36569

漏洞解决方案

厂商已发布了漏洞修复程序,请及时关注更新:

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-36569

厂商补丁

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-36569

验证信息

(暂无验证信息)

    

10

Apache ActiveMQ远程代码执行漏洞

CNVD-ID

CNVD-2023-80853

公开日期

2023-10-26

危害级别


影响产品

Apache ActiveMQ < 5.18.3

漏洞描述

Apache ActiveMQ存在远程代码执行漏洞,当未经身份认证的攻击者可利用该漏洞访问Apache ActiveMQ的端口,通过发送恶意数据在远程服务器上执行代码,进而控制服务器。

漏洞类型

通用型漏洞

参考链接

https://github.com/apache/activemq/tags

漏洞解决方案

用户可参考如下供应商提供的安全公告获得补丁信息:

https://github.com/apache/activemq/tags

厂商补丁

https://github.com/apache/activemq/tags

验证信息

(暂无验证信息)



Baidu
map