雷神众测漏洞周报2023.11.13-2023.11.19
2023-11-22 15:9:43 Author: mp.weixin.qq.com(查看原文) 阅读量:7 收藏

摘要

以下内容,均摘自于互联网,由于传播,利用此文所提供的信息而造成的任何直接或间接的后果和损失,均由使用者本人负责,雷神众测以及文章作者不承担任何责任。

雷神众测拥有该文章的修改和解释权。如欲转载或传播此文章,必须保证此文章的副本,包括版权声明等全部内容。声明雷神众测允许,不得任意修改或增减此文章内容,不得以任何方式将其用于商业目的。

目录

1.金蝶云星空ScpSupRegHandler任意文件上传漏洞

2.Google Chrome <116.0.5845.96 任意文件读取漏洞

3.Kubernetes Windows node 命令注入漏洞

4.Microsoft Office Visio远程代码执行漏洞

漏洞详情

1.金蝶云星空ScpSupRegHandler任意文件上传漏洞

漏洞介绍:

金蝶云星空是由金蝶国际软件开发集团开发的一款企业云平台,包括渠道云、零售云,可以帮助企业处理经销商及渠道商的管理及直营门店的日常运营工作。

漏洞危害:

攻击者可以通过该漏洞上传恶意文件,获取服务器权限。

影响范围:

金蝶云星空企业版私有云、企业版私有云(订阅)、标准版私有云(订阅)

V6.2(含17年12月补丁) 至 V8.1(含23年9月补丁)

修复方案:

及时测试并升级到最新版本或升级版本

来源:安恒信息CERT

2.Google Chrome <116.0.5845.96 任意文件读取漏洞

漏洞介绍:

Google Chrome 是 Google 公司开发的网页浏览器。

漏洞危害:

Google Chrome 在116.0.5845.96版本之前,默认使用的xsl库调用document() 加载的文档时包含对外部实体的引用。攻击者可以创建并托管包含XSL样式表的SVG图像和包含外部实体引用的文档。当受害者访问SVG图像链接时,浏览器会解析XSL样式表,调用document() 加载包含外部实体引用的文档,读取受害者机器的任意文件。

漏洞编号:

CVE-2023-4357

影响范围:

chromium@(-∞, 116.0.5845.96)

chrome@(-∞, 116.0.5845.96)

修复方案:

及时测试并升级到最新版本或升级版本

来源:OSCS

3.Kubernetes Windows node 命令注入漏洞

漏洞介绍:

Kubernetes是一个用于自动部署、扩展和管理容器化应用程序的平台。kubelet是Kubernetes用于运行节点上容器的代理组件(node agent)。

漏洞危害:

使用yaml在Windows node上创建pod和挂载目录时,Kubelet会使用内置(in-tree)存储插件,如azure的插件会获取volumes.azureDisk.diskURI传入的MountSensitive的source参数,并将参数拼接至mklink命令语句中,并在 cmd 中使用管理员权限执行语句,造成在宿主机 node 上以管理员权限执行任意命令。

影响范围:

kubernetes@[1.8.0, 1.28.4)

github.com/kubernetes/kubernetes@[1.8.0, 1.27.8)

kubernetes@[1.8.0, 1.27.8)

github.com/kubernetes/kubernetes@[1.8.0, 1.28.4)

kubernetes@[1.8.0, 1.26.11)

kubernetes@[1.8.0, 1.25.16)

github.com/kubernetes/kubernetes@[1.8.0, 1.26.11)

github.com/kubernetes/kubernetes@[1.8.0, 1.25.16)

修复方案:

及时测试并升级到最新版本或升级版本

来源:OSCS

4.Microsoft Office Visio远程代码执行漏洞

漏洞介绍:

Microsoft Office Visio是美国微软(Microsoft)公司的Office软件系列中的负责绘制流程图和示意图的软件。

漏洞危害:

Microsoft Office Visio存在远程代码执行漏洞,攻击者可利用此漏洞在系统上执行任意代码。

漏洞编号:

CVE-2023-36866

影响范围:

Microsoft Office 2019

Microsoft 365 Apps for Enterprise

Microsoft Office LTSC 2021

修复方案:

及时测试并升级到最新版本或升级版本

来源:CNVD

专注渗透测试技术

全球最新网络攻击技术

END


文章来源: https://mp.weixin.qq.com/s?__biz=MzI0NzEwOTM0MA==&mid=2652502634&idx=1&sn=d4addad99358112d5cb6cbaacc7fcc29&chksm=f25859d9c52fd0cf1076830abd8f76745e040275d41d1f47fc0db1d35da39784e20f28d597dc&scene=58&subscene=0#rd
如有侵权请联系:admin#unsafe.sh