雷神众测漏洞周报2024.05.06-2024.05.12

雷神众测

共 8455字,需浏览 17分钟

 ·

2024-05-13 15:30

摘要


以下内容,均摘自于互联网,由于传播,利用此文所提供的信息而造成的任何直接或间接的后果和损失,均由使用者本人负责,雷神众测以及文章作者不承担任何责任。

雷神众测拥有该文章的修改和解释权。如欲转载或传播此文章,必须保证此文章的副本,包括版权声明等全部内容。声明雷神众测允许,不得任意修改或增减此文章内容,不得以任何方式将其用于商业目的。


目录

1.Atlassian Confluence远程代码执行漏洞

2.Apache Struts文件上传组件存在目录遍历漏洞

3.北京万户网络技术有限公司ezEip系统存在命令执行漏洞

4.亿赛通电子文档安全管理系统代码执行漏洞


漏洞详情

1.Atlassian Confluence远程代码执行漏洞

漏洞介绍:

Confluence 是一个专业的企业知识管理与协同软件,也可以用于构建企业wiki。使用简单,它强大的编辑和站点管理特征能够帮助团队成员之间共享信息、文档协作、集体讨论,信息推送。


漏洞危害:

该漏洞允许经过身份验证的攻击者(包括具有匿名访问权限的攻击者)将不安全的用户输入注入 Confluence 页面,从而在受影响的实例上实现远程代码执行,获取服务器权限。


漏洞编号:

CVE-2023-22522


影响范围:

Confluence Data Center

Confluence Server

4.x.x

5.x.x

6.x.x

7.x.x

8.0.x

8.1.x

8.2.x

8.3.x

8.4.0

8.4.1

8.4.2

8.4.3

8.4.4

8.5.0

8.5.1

8.5.2

8.5.3

8.6.0

8.6.1


修复方案:

及时测试并升级到最新版本或升级版本


来源:安恒信息CERT

2.Apache Struts文件上传组件存在目录遍历漏洞


漏洞介绍:

Apache Struts 是一个免费、开源的MVC框架,用于创建优雅、现代的Java Web应用程序。它支持约定优于配置,可使用插件架构进行扩展,并附带支持REST、AJAX和JSON的插件。


漏洞危害:

攻击者可以操纵文件上传参数来启用路径遍历,在某些情况下这可能会导致上传用于执行远程代码的恶意文件。


漏洞编号:

CVE-2023-50164


影响范围:

Apache Struts [2.0.0 , 2.5.32]

Apache Struts [6.0.0 , 6.3.0.1]


修复方案:

及时测试并升级到最新版本或升级版本


来源:安恒信息CERT

3.北京万户网络技术有限公司ezEip系统存在命令执行漏洞


漏洞介绍:

ezEip系统是一款企业网站管理系统。


漏洞危害:

北京万户网络技术有限公司ezEip系统存在命令执行漏洞,攻击者可利用该漏洞获取服务器权限。


影响范围:

北京万户网络技术有限公司 ezEip系统 4.0


修复方案:

及时测试并升级到最新版本或升级版本


来源:CNVD


4.亿赛通电子文档安全管理系统代码执行漏洞


漏洞介绍:

亿赛通新一代电子文档安全管理系统(简称:CDG)是一款融合文档加密、数据分类分级、访问控制、关联分析、大数据分析、智能识别等核心技术的综合性数据智能安全产品。


漏洞危害:

攻击者可构造恶意请求绕过身份认证,结合相关功能造成远程代码执行。


影响范围:

亿赛通电子文档安全管理系统


修复方案:

及时测试并升级到最新版本或升级版本


来源:阿里云漏洞库



专注渗透测试技术

全球最新网络攻击技术


END


浏览 51
点赞
评论
收藏
分享

手机扫一扫分享

分享
举报
评论
图片
表情
推荐
点赞
评论
收藏
分享

手机扫一扫分享

分享
举报