雷神众测漏洞周报2024.05.06-2024.05.12
共 8455字,需浏览 17分钟
·
2024-05-13 15:30
摘要
以下内容,均摘自于互联网,由于传播,利用此文所提供的信息而造成的任何直接或间接的后果和损失,均由使用者本人负责,雷神众测以及文章作者不承担任何责任。
雷神众测拥有该文章的修改和解释权。如欲转载或传播此文章,必须保证此文章的副本,包括版权声明等全部内容。声明雷神众测允许,不得任意修改或增减此文章内容,不得以任何方式将其用于商业目的。
目录
1.Atlassian Confluence远程代码执行漏洞
2.Apache Struts文件上传组件存在目录遍历漏洞
3.北京万户网络技术有限公司ezEip系统存在命令执行漏洞
4.亿赛通电子文档安全管理系统代码执行漏洞
漏洞详情
1.Atlassian Confluence远程代码执行漏洞
漏洞介绍:
Confluence 是一个专业的企业知识管理与协同软件,也可以用于构建企业wiki。使用简单,它强大的编辑和站点管理特征能够帮助团队成员之间共享信息、文档协作、集体讨论,信息推送。
漏洞危害:
该漏洞允许经过身份验证的攻击者(包括具有匿名访问权限的攻击者)将不安全的用户输入注入 Confluence 页面,从而在受影响的实例上实现远程代码执行,获取服务器权限。
漏洞编号:
CVE-2023-22522
影响范围:
Confluence Data Center
Confluence Server
4.x.x
5.x.x
6.x.x
7.x.x
8.0.x
8.1.x
8.2.x
8.3.x
8.4.0
8.4.1
8.4.2
8.4.3
8.4.4
8.5.0
8.5.1
8.5.2
8.5.3
8.6.0
8.6.1
修复方案:
及时测试并升级到最新版本或升级版本
来源:安恒信息CERT
2.Apache Struts文件上传组件存在目录遍历漏洞
漏洞介绍:
Apache Struts 是一个免费、开源的MVC框架,用于创建优雅、现代的Java Web应用程序。它支持约定优于配置,可使用插件架构进行扩展,并附带支持REST、AJAX和JSON的插件。
漏洞危害:
攻击者可以操纵文件上传参数来启用路径遍历,在某些情况下这可能会导致上传用于执行远程代码的恶意文件。
漏洞编号:
CVE-2023-50164
影响范围:
Apache Struts [2.0.0 , 2.5.32]
Apache Struts [6.0.0 , 6.3.0.1]
修复方案:
及时测试并升级到最新版本或升级版本
来源:安恒信息CERT
3.北京万户网络技术有限公司ezEip系统存在命令执行漏洞
漏洞介绍:
ezEip系统是一款企业网站管理系统。
漏洞危害:
北京万户网络技术有限公司ezEip系统存在命令执行漏洞,攻击者可利用该漏洞获取服务器权限。
影响范围:
北京万户网络技术有限公司 ezEip系统 4.0
修复方案:
及时测试并升级到最新版本或升级版本
来源:CNVD
4.亿赛通电子文档安全管理系统代码执行漏洞
漏洞介绍:
亿赛通新一代电子文档安全管理系统(简称:CDG)是一款融合文档加密、数据分类分级、访问控制、关联分析、大数据分析、智能识别等核心技术的综合性数据智能安全产品。
漏洞危害:
攻击者可构造恶意请求绕过身份认证,结合相关功能造成远程代码执行。
影响范围:
亿赛通电子文档安全管理系统
修复方案:
及时测试并升级到最新版本或升级版本
来源:阿里云漏洞库
专注渗透测试技术
全球最新网络攻击技术