首页
社区
课程
招聘
问答 CTF 排行榜 知识库 工具下载 看雪峰会 看雪商城 证书查询
  1. 看雪社区
  2. 企业安全
    3. 发新帖
[原创]华云安漏洞安全周报【第169期】
2024-2-5 14:28 1771

[原创]华云安漏洞安全周报【第169期】

华云安 活跃值
2024-2-5 14:28
1771

根据国家信息安全漏洞库(CNNVD)统计,本周(2024.01.08~2024.01.14)CNNVD接报漏洞384个,其中信息技术产品漏洞(通用型漏洞)239个,网络信息系统漏洞(事件型漏洞)145个,其中华云安报送91份;CNNVD收录漏洞通报98份,其中华云安报送1份



本周重点关注漏洞包括:CVE-2023-47211 ZOHO ManageEngine OpManager 路径遍历漏洞、CVE-2023-6921 PrestaShop SQL 注入漏洞、2024-01补丁日 微软多个漏洞安全更新、CVE-2023-41056 Redis 安全漏洞。漏洞影响范围较广,华云安建议相关用户做好资产自查与预防工作。



01 CVE-2023-47211 ZOHO ManageEngine OpManager 路径遍历漏洞

威胁等级:高危

漏洞描述:

2024年01月08日,华云安思境安全团队监测发现 ManageEngine OpManager 官方发布安全通告,披露了 ZOHO ManageEngine OpManager 12.7.258 版本存在路径遍历漏洞。ZOHO ManageEngine OpManager 是一个网络监控工具,可以对网络设备、服务器、链路、系统等的性能进行全面的监控,保障网络正常。这个漏洞涉及到uploadMib功能中的目录遍历漏洞,攻击者可能利用这个漏洞通过发送特制的HTTP请求来创建任意文件。

情报来源:

https://www.manageengine.com/itom/advisory/cve-2023-47211.html   




02 CVE-2023-6921 PrestaShop SQL 注入漏洞

威胁等级:超危

漏洞描述:

2024年01月10日,华云安思境安全团队监测发现 PrestaShop 官方发布安全通告,披露了 PrestaShow Google Integrator 2.1.4 之前版本存在 SQL 注入漏洞。PrestaShop 是一款多功能、跨平台的开源电子商务解决方案,可提供多种支付方式、商品图片缩放、短消息提醒等功能。攻击者可能利用该漏洞通过在 cookie 中插入命令来提取和修改数据。

情报来源:

https://prestashow.pl/pl/moduly-prestashop/28-prestashop-google-integrator-ga4-gtm-ads-remarketing.html   

 



03 2024-01补丁日 微软多个漏洞安全更新

威胁等级:超危

漏洞描述:

2024年01月11日,华云安思境安全团队监测发现 Microsoft 官方发布安全更新,此次安全更新发布了48个漏洞补丁,其中包含2个严重漏洞,46个高危漏洞。主要覆盖了以下组件:Microsoft Windows and Windows Components; Office and Office Components; Azure; .NET Framework and Visual Studio; SQL Server; Windows Hyper-V; and Internet Explorer等。漏洞影响范围较广,华云安建议相关用户做好资产自查与预防工作。

情报来源:

https://msrc.microsoft.com/update-guide/releaseNote/2024-jan   




04 CVE-2023-41056 Redis 安全漏洞

威胁等级:高危

漏洞描述:

2024年01月12日,华云安思境安全团队监测到 Redis 官方发布安全通告,披露了 Redis 7.0.9 版本和 7.2.4 之前的7.2.x 版本存在安全漏洞。Redis Labs Redis 是一套开源的数据库,使用 ANSI C 编写、支持网络、可基于内存亦可持久化的日志型、键值(Key-Value)存储数据库,并提供多种语言的 API 。这个漏洞是由于 Redis 在处理内存缓冲区时可能存在的错误所导致的。当 Redis 在某些情况下处理内存缓冲区时,如果缓冲区的大小不正确,可能会导致堆溢出,进而可能允许远程代码执行。

情报来源:

https://github.com/redis/redis/commit/e351099e1119fb89496be578f5232c61ce300224   

 



华云安

华云安是一家深耕于网络空间安全领域的高新技术企业,专注于漏洞研究、攻防对抗、产品研发、安全服务;致力于对主动防御、情报协同、溯源反制能力进行融合创新,以攻击者视角构建攻击面管理安全能力平台,提供新一代网络安全对抗防御解决方案。公司服务于国家网络安全监管部门及金融、能源、教育、医疗等关键信息基础设施行业。

公司持续构建的原子化安全能力平台,秉承数据驱动、AI引领的理念,通过基于知识图谱的安全风险库和场景化人工智能引擎两大核心技术,结合不同的业务需求灵活组合安全能力,实现一个平台覆盖所有安全能力。


[培训]《安卓高级研修班(网课)》月薪三万计划,掌握调试、分析还原ollvm、vmp的方法,定制art虚拟机自动化脱壳的方法

收藏
点赞0
打赏
分享
最新回复 (0)
游客
登录 | 注册 方可回帖
 回帖  表情 雪币赚取及消费
高级回复
返回