雷神众测漏洞周报2024.2.26-2024.3.3

摘要

以下内容，均摘自于互联网，由于传播，利用此文所提供的信息而造成的任何直接或间接的后果和损失，均由使用者本人负责，雷神众测以及文章作者不承担任何责任。

雷神众测拥有该文章的修改和解释权。如欲转载或传播此文章，必须保证此文章的副本，包括版权声明等全部内容。声明雷神众测允许，不得任意修改或增减此文章内容，不得以任何方式将其用于商业目的。

目录

1.Gofiber 存在CORS凭证泄露漏洞

2.Apache OFBiz <18.12.12 路径遍历漏洞

3.瑞友天翼应用虚拟化系统存在SQL注入漏洞

4.Microsoft Office远程代码执行漏洞

漏洞详情

1.Gofiber 存在CORS凭证泄露漏洞

漏洞介绍：

Gofiber 是一个基于Go语言的轻量级web框架。

漏洞危害：

受影响版本中，Web应用中的CORS中间件允许不安全的配置(例如：同时设置Access-Control-Allow-Origin 通配符`*`并且Access-Control-Allow-Credentials为true)，攻击者可以利用这种不安全的配置，通过构造特定的跨源请求窃取其他用户的用户凭证(如cookies、HTTP认证信息等)。

浏览器提供的 fetch API 以及强制执行 CORS 策略的浏览器和实用程序不受此漏洞影响。

漏洞编号：

CVE-2024-25124

影响范围：

github.com/gofiber/fiber/v2@(-∞, 2.52.1)

github.com/gofiber/fiber/v2/middleware/cors@(-∞, 2.52.1)

修复方案：

及时测试并升级到最新版本或升级版本

来源：OSCS

2.Apache OFBiz <18.12.12 路径遍历漏洞

漏洞介绍：

Apache OFBiz 是一个开源的企业资源计划系统。

漏洞危害：

Apache OFBiz 中由于未充分验证用户输入的 contextPath 而导致存在路径遍历漏洞，未授权的攻击者可以通过构造恶意请求绕过认证，进而访问系统中的资源。修复代码通过将contextPath转换为一个URI对象，并调用.normalize()方法来规范化路径，从而防止路径遍历。

漏洞编号：

CVE-2024-25065

影响范围：

ofbiz@(-∞, 18.12.12)

修复方案：

及时测试并升级到最新版本或升级版本

来源：OSCS

3.瑞友天翼应用虚拟化系统存在SQL注入漏洞

漏洞介绍：

西安瑞友信息技术资讯有限公司是专业从事虚拟化及云计算解决方案提供商。

漏洞危害：

瑞友天翼应用虚拟化系统存在SQL注入漏洞，攻击者可利用该漏洞获取数据库信息进而执行命令。

影响范围：

西安瑞友信息技术资讯有限公司 瑞友天翼应用虚拟化系统 7.0.5.1

修复方案：

及时测试并升级到最新版本或升级版本

来源：CNVD

4.Microsoft Office远程代码执行漏洞

漏洞介绍：

Microsoft Office是微软公司开发的一套基于Windows操作系统的办公软件套装。

漏洞危害：

Microsoft Office存在远程代码执行漏洞，攻击者可利用该漏洞在系统上执行任意代码。

漏洞编号：

CVE-2024-20673

影响范围：

Microsoft Office 2016

Microsoft Excel 2016

Microsoft Word 2016

Microsoft Publisher 2016

Microsoft PowerPoint 2016

Microsoft Skype for Business 2016

Microsoft Office LTSC 2021

Microsoft Office 2019

修复方案：

及时测试并升级到最新版本或升级版本

来源：CNVD

专注渗透测试技术

全球最新网络攻击技术

END