首页   

华云安漏洞安全周报【第169期】

华云安  ·  · 4 月前


根据国家信息安全漏洞库(CNNVD)统计,本周(2024.01.08~2024.01.14)CNNVD接报漏洞384个,其中信息技术产品漏洞(通用型漏洞)239个,网络信息系统漏洞(事件型漏洞)145个,其中华云安报送91份;CNNVD收录漏洞通报98份,其中华云安报送1份



本周重点关注漏洞包括:CVE-2023-47211 ZOHO ManageEngine OpManager 路径遍历漏洞、CVE-2023-6921 PrestaShop SQL 注入漏洞、2024-01补丁日 微软多个漏洞安全更新、CVE-2023-41056 Redis 安全漏洞。漏洞影响范围较广,华云安建议相关用户做好资产自查与预防工作。


01

CVE-2023-47211 ZOHO ManageEngine OpManager 路径遍历漏洞


威胁等级:高危

漏洞描述:

2024年01月08日,华云安思境安全团队监测发现 ManageEngine OpManager 官方发布安全通告,披露了 ZOHO ManageEngine OpManager 12.7.258 版本存在路径遍历漏洞。ZOHO ManageEngine OpManager 是一个网络监控工具,可以对网络设备、服务器、链路、系统等的性能进行全面的监控,保障网络正常。这个漏洞涉及到uploadMib功能中的目录遍历漏洞,攻击者可能利用这个漏洞通过发送特制的HTTP请求来创建任意文件。

情报来源:

https://www.manageengine.com/itom/advisory/cve-2023-47211.html 



02

CVE-2023-6921 PrestaShop SQL 注入漏洞


威胁等级:超危

漏洞描述:

2024年01月10日,华云安思境安全团队监测发现 PrestaShop 官方发布安全通告,披露了 PrestaShow Google Integrator 2.1.4 之前版本存在 SQL 注入漏洞。PrestaShop 是一款多功能、跨平台的开源电子商务解决方案,可提供多种支付方式、商品图片缩放、短消息提醒等功能。攻击者可能利用该漏洞通过在 cookie 中插入命令来提取和修改数据。

情报来源:

https://prestashow.pl/pl/moduly-prestashop/28-prestashop-google-integrator-ga4-gtm-ads-remarketing.html 

 


03

2024-01补丁日 微软多个漏洞安全更新


威胁等级:超危

漏洞描述:

2024年01月11日,华云安思境安全团队监测发现 Microsoft 官方发布安全更新,此次安全更新发布了48个漏洞补丁,其中包含2个严重漏洞,46个高危漏洞。主要覆盖了以下组件:Microsoft Windows and Windows Components; Office and Office Components; Azure; .NET Framework and Visual Studio; SQL Server; Windows Hyper-V; and Internet Explorer等。漏洞影响范围较广,华云安建议相关用户做好资产自查与预防工作。

情报来源:

https://msrc.microsoft.com/update-guide/releaseNote/2024-jan 



04

CVE-2023-41056 Redis 安全漏洞


威胁等级:高危

漏洞描述:

2024年01月12日,华云安思境安全团队监测到 Redis 官方发布安全通告,披露了 Redis 7.0.9 版本和 7.2.4 之前的7.2.x 版本存在安全漏洞。Redis Labs Redis 是一套开源的数据库,使用 ANSI C 编写、支持网络、可基于内存亦可持久化的日志型、键值(Key-Value)存储数据库,并提供多种语言的 API 。这个漏洞是由于 Redis 在处理内存缓冲区时可能存在的错误所导致的。当 Redis 在某些情况下处理内存缓冲区时,如果缓冲区的大小不正确,可能会导致堆溢出,进而可能允许远程代码执行。

情报来源:

https://github.com/redis/redis/commit/e351099e1119fb89496be578f5232c61ce300224 

 


华云安

华云安是一家深耕于网络空间安全领域的高新技术企业,专注于漏洞研究、攻防对抗、产品研发、安全服务;致力于对主动防御、情报协同、溯源反制能力进行融合创新,以攻击者视角构建攻击面管理安全能力平台,提供新一代网络安全对抗防御解决方案。公司服务于国家网络安全监管部门及金融、能源、教育、医疗等关键信息基础设施行业。

公司持续构建的原子化安全能力平台,秉承数据驱动、AI引领的理念,通过基于知识图谱的安全风险库和场景化人工智能引擎两大核心技术,结合不同的业务需求灵活组合安全能力,实现一个平台覆盖所有安全能力。


推荐文章
不正常人类研究中心  ·  这是属于男人的浪漫!老公是个很温暖的人  ·  11 月前  
玉清太真君  ·  八旗制度的核心与变种 ...  ·  3 年前  
仓都加满  ·  易方达中小盘获晨星基金奖  ·  4 年前  
bluebrid  ·  Mobx 源码解析 二(autorun)  ·  5 年前  
© 2022 51好读
删除内容请联系邮箱 2879853325@qq.com