关于Microsoft Outlook权限提升漏洞(CVE-2023-23397)的安全预警
一、 基本情况Microsoft Office Outlook是微软办公软件套装的组件之一,它对Windows自带的Outlook express的功能进行了扩充。Outlook具有很多功能,可以使用它来收发电子邮件、管理联系人信息、安排日程等。二、 漏洞描述绿盟科技CERT监测到微软官方发布补丁更新,修复了一个Microsoft Outlook权限提升漏洞,未经身份验证的攻击者通过发送特制的电子邮件,导致受害者连接到攻击者控制的外部的UNC位置,造成受害者的Net-NTLMv2散...
关于Foxit PDF Reader远程代码执行漏洞(CVE-2023-27329)的安全预警
一、基本情况Foxit PDF Reader(或Foxit Reader)是福建福昕软件研发的一款PDF阅读器,用于阅读PDF格式文件;Foxit PDF Editor是一款PDF编辑器。二、漏洞描述3月10日,Foxit发布安全公告,修复了Foxit PDF Reade和PDF Editor中的多个远程代码执行漏洞(CVE-2023-27329、CVE-2023-27330和CVE-2023-27331),它们的CVSSV3评分均为7.8。这些漏洞存在于对Annotation objects(注释对象)的处理中,由于在对对象执行操作之前没有验证...
关于GitLab跨站脚本漏洞(CVE-2023-0050)的安全预警
一、基本情况GitLab是一个用于仓库管理系统的开源项目,其使用Git作为代码管理工具,可通过Web界面访问公开或私人项目。 二、漏洞描述3月2日,启明星辰VSRC监测到GitLab官方发布更新公告,修复了GitLab 社区版 (CE)和企业版(EE)中的一个跨站脚本漏洞(CVE-2023-0050)。远程威胁者可以通过特制的Kroki图导致客户端的存储型XSS,成功触发该漏洞可能导致以受害者的身份执行任意操作。三、影响范围13.7 <= GitLab CE/EE < 15.7...
关于Node.js权限绕过漏洞(CVE-2023-23918)的安全预警
一、基本情况Node.js是一个开源、跨平台的 JavaScript 运行时环境。 二、漏洞描述Node.js 19.x、18.x、16.x 和 14.x 多个版本中由于权限控制不当,可以通过使用 process.mainModule.require()绕过Node.js权限策略并访问未授权的模块。该漏洞仅影响使用--experimental-policy 启用实验权限选项的用户。三、影响范围Node.js版本< 19.6.1Node.js版本< 18.14.1Node.js版本< 16.19.1Node.js版本< 14.21.3四、修复建议目前该漏洞已经...
关于泛微e-cology9 SQL注入漏洞的安全预警
一、基本情况泛微协同管理应用平台(e-cology)是一套兼具企业信息门户、知识文档管理、工作流程管理、人力资源管理、客户关系管理、项目管理、财务管理、资产管理、供应链管理、数据中心功能的企业大型协同管理平台,并可形成一系列的通用解决方案和行业解决方案。 二、漏洞描述近日,绿盟科技CERT监测发现泛微官方发布安全补丁,修复了一个SQL注入漏洞。由于泛微e-cology9中对用户输入的数据验证存在缺陷,未经身份验证的攻击...
关于Joomla未授权访问漏洞(CVE-2023-23752)的安全预警
一、基本情况Joomla是一套全球知名的内容管理系统(CMS),其使用PHP语言加上MySQL数据库所开发,可以在Linux、Windows、MacOSX等各种不同的平台上运行。 二、漏洞描述2月16日,Joomla官方发布安全公告,修复了Joomla! CMS中的一个未授权访问漏洞(CVE-2023-23752),目前该漏洞的细节及PoC/EXP已公开。Joomla! CMS 版本4.0.0 - 4.2.7中由于对web 服务端点访问限制不当,可能导致未授权访问Rest API,造成敏感信息泄露(如数据...
关于Apache Kafka Connect远程代码执行漏洞(CVE-2023-25194)的安全预警
一、基本情况Apache Kafka是一个分布式数据流处理平台,可以实时发布、订阅、存储和处理数据流。Kafka Connect是一种用于在kafka和其他系统之间可扩展、可靠的流式传输数据的工具。 二、漏洞描述2023年2月21日公司监测到Apache官方发布了Apache Kafka Connect远程代码执行漏洞风险通告。Apache Kafka是一个分布式数据流处理平台,可以实时发布、订阅、存储和处理数据流。Kafka Connect是一种用于在kafka和其他系统之间可扩展、...
关于Apple WebKit任意代码执行漏洞(CVE-2023-23529)的安全预警
一、 基本情况WebKit是一个开源的浏览器引擎,主要用于Safari,Dashboard,Mail和其他一些Mac OS X程序。WebKit还支持移动设备和手机,包括iPhone和Android手机都是使用WebKit作为浏览器的核心。二、 漏洞描述美创安全实验室监测发现Apple官方发布了Apple WebKit任意代码执行漏洞的风险通告,并表示已发现该漏洞被利用,漏洞编号:CVE-2023-23529,漏洞等级:高危。该漏洞存在于Apple WebKit中,是一个类型混淆漏洞,未经身份认...
