【企业安全-华云安漏洞安全周报【第164期】】此文章归类为:企业安全。
根据,本周(2023.12.04~2023.12.10)CNNVD接报漏洞225个,其中信息技术产品漏洞(通用型漏洞)190个,网络信息系统漏洞(事件型漏洞)35个,其中华云安报送10份;CNNVD收录漏洞通报122份,其中华云安报送2份。
本周重点关注漏洞包括:CVE-2023-50164 Apache Struts 远程代码执行漏洞、CVE-2023-49070 Apache OFBiz 远程代码执行漏洞、CVE-2023-48123 Netgate pfSense CE 任意代码执行漏洞、CVE-2023-49297 PyDrive2 代码执行漏洞 。漏洞影响范围较广,华云安建议相关用户做好资产自查与预防工作。
01 CVE-2023-50164 Apache Struts 远程代码执行漏洞
威胁等级:超危
漏洞描述:
2023年12月05日,华云安思境安全团队监测到 Apache 官方发布安全更新,披露了 Apache Struts 2.0.0至2.5.32版本,6.0.0 至6.3.0.1 版本存在远程代码执行漏洞。Apache Struts 是一个基于 Java 的 Web 应用程序框架,它通过MVC(模型-视图-控制器)体系结构来实现应用程序控制器,主要提供两个版本框架产品 Struts 1 和 Struts 2。未经身份验证的远程攻击者可能利用此漏洞上传恶意文件并执行代码。
情报来源:
02 CVE-2023-49070 Apache OFBiz 远程代码执行漏洞
威胁等级:超危
漏洞描述:
2023年12月06日,华云安思境安全团队监测发现 Apache 官方发布安全更新,披露了 Apache Ofbiz 18.12.10之前版本存在远程代码执行漏洞。Apache Ofbiz 是一套企业资源计划(ERP)系统,提供了创建基于最新的 J2EE/XML 规范和技术标准,构建大中型企业级、快平台、跨数据库、跨应用服务器的多层、分布式电子商务类WEB应用系统的框架。未经身份验证的远程攻击者可能利用此漏洞程执行代码。
情报来源:
03 CVE-2023-48123 Netgate pfSense CE 任意代码执行漏洞
威胁等级:超危
漏洞描述:
2023年12月07日,华云安思境安全团队监测发现 pfSense 官方发布安全更新,披露了 Netgate pfSense Plus v.23.05.1 及之前版本和pfSense CE v.2.7.0 版本存在任意代码执行漏洞。pfSense是一套基于FreeBSD Linux 的网络防火墙。未经身份验证的远程攻击者可能利用该漏洞执行任意代码。
情报来源:
04 CVE-2023-49297 PyDrive2 代码执行漏洞
威胁等级:超危
漏洞描述:
2023年12月09日,华云安思境安全团队监测发现 Iterative 官网发布安全更新,披露了PyDrive2 1.17.0、1.16.1及之前版本存在任意代码漏洞。PyDrive2 是 Iterative 开源的一个 google-api-python-client 的包装库。未经身份验证的远程攻击者可能利用该漏洞执行任意代码。
情报来源:
华云安
华云安是一家深耕于网络空间安全领域的高新技术企业,专注于漏洞研究、攻防对抗、产品研发、安全服务;致力于对主动防御、情报协同、溯源反制能力进行融合创新,以攻击者视角构建攻击面管理安全能力平台,提供新一代网络安全对抗防御解决方案。公司服务于国家网络安全监管部门及金融、能源、教育、医疗等关键信息基础设施行业。
公司持续构建的原子化安全能力平台,秉承数据驱动、AI引领的理念,通过基于知识图谱的安全风险库和场景化人工智能引擎两大核心技术,结合不同的业务需求灵活组合安全能力,实现一个平台覆盖所有安全能力。
更多【企业安全-华云安漏洞安全周报【第164期】】相关视频教程:www.yxfzedu.com