聚焦源代码安全,网罗国内外最新资讯!
编译:代码卫士
这三个漏洞是:
CVE-2023-36584(CVSS评分5.4):微软 MotW 安全特性绕过漏洞
CVE-2023-1671(CVSS评分9.8):Sophos Web 设备命令注入漏洞
CVE-2023-2551(CVSS评分8.8):Oracle Fusion 中间件未指明漏洞
CVE-2023-1671与一个验证的预认证命令注入漏洞有关,可导致攻击者执行任意代码。CVE-2023-2551位于 WLS Core Components 中,可导致具有网络访问权限的未认证攻击者访问受陷的 WebLogic Server。
目前尚未有公开报道称后两个漏洞已遭利用。
CVE-2023-36584的新增基于 Palo Alto Networks 公司 Unit 42 团队在本周发布的一份报告。该报告想输了亲俄罗斯 APT 组织 Storm-0978 如何在2023年7月攻击支持乌克兰政府的组织。该漏洞已由微软在2023年10月的安全更新中修复,据称与7月份修复的Windows RCE 漏洞CVE-2023-36884组合利用。
鉴于活跃利用情况,CISA 要求联邦机构在12月7日前应用这些修复方案,保护网络免受潜在威胁。
CISA 提醒注意已遭活跃利用的 Juniper 预认证 RCE 利用链
https://thehackernews.com/2023/11/cisa-adds-three-security-flaws-with.html
题图:Pexels License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。
觉得不错,就点个 “在看” 或 "赞” 吧~
如有侵权请联系:admin#unsafe.sh