摘要
以下内容,均摘自于互联网,由于传播,利用此文所提供的信息而造成的任何直接或间接的后果和损失,均由使用者本人负责,雷神众测以及文章作者不承担任何责任。
雷神众测拥有该文章的修改和解释权。如欲转载或传播此文章,必须保证此文章的副本,包括版权声明等全部内容。声明雷神众测允许,不得任意修改或增减此文章内容,不得以任何方式将其用于商业目的。
目录
1.Jenkins存在任意文件读取漏洞
2.GoAnywhere MFT 存在未授权创建管理员风险
3.GitLab workspace 任意文件写入漏洞
4.亿赛通电子文档安全管理系统存在命令执行漏洞
漏洞详情
1.Jenkins存在任意文件读取漏洞
漏洞介绍:
Jenkins 是一个开源的自动化服务器软件,用于构建、测试和部署软件项目。它提供了一种强大的方式来自动化软件开发和交付流程,以提高开发团队的效率和生产力。
漏洞危害:
未经身份验证的攻击者能够利用该漏洞读取Jenkins控制器文件系统上的任意文件。
漏洞编号:
CVE-2024-23897
影响范围:
Jenkins <=2.441
Jenkins <=LST2.426.2
修复方案:
及时测试并升级到最新版本或升级版本
来源:安恒信息CERT
2.GoAnywhere MFT 存在未授权创建管理员风险
漏洞介绍:
GoAnywhere MFT 是一个管理文件传输的解决方案。
漏洞危害:
GoAnywhere MFT 7.4.1之前版本中,未经过身份验证的攻击者可通过 Administration Portal 创建管理员用户。
漏洞编号:
CVE-2024-0204
影响范围:
goanywhere_managed_file_transfer@[6.0.1, 7.4.1)
修复方案:
及时测试并升级到最新版本或升级版本
来源:OSCS
3.GitLab workspace 任意文件写入漏洞
漏洞介绍:
GitLab 是基于Git的集成软件开发平台,workspace 是 GitLab 中用于运行隔离开发环境的虚拟沙箱。
漏洞危害:
GitLab 受影响版本中在用户创建 workspace 时由于未对配置文件devfile中的特殊字符(如:<、>等)有效过滤,经过身份验证的攻击者可在 GitLab 服务器中任意位置写入恶意文件,进而远程执行任意代码。
漏洞编号:
CVE-2024-0402
影响范围:
gitlab@[16.6, 16.6.6)
gitlab@[16.7, 16.7.4)
gitlab@[16.8, 16.8.1)
gitlab@[16.0, 16.5.8)
修复方案:
及时测试并升级到最新版本或升级版本
来源:OSCS
4.亿赛通电子文档安全管理系统存在命令执行漏洞
漏洞介绍:
北京亿赛通科技发展有限责任公司是一家以从事科技推广和应用服务业为主的企业。
漏洞危害:
亿赛通电子文档安全管理系统存在命令执行漏洞,攻击者可利用该漏洞获取服务器权限。
影响范围:
亿赛通电子文档安全管理系统
修复方案:
及时测试并升级到最新版本或升级版本
来源:CNVD
专注渗透测试技术
全球最新网络攻击技术
END
如有侵权请联系:admin#unsafe.sh