打开微信扫一扫
01
CNVD-ID
|
CNVD-2023-74817 |
公开日期
|
2023-10-08
|
危害级别
|
高
|
影响产品
|
WordPress Web Stories <1.25.0 |
C
VE-ID
|
CVE-2022-3708 |
漏洞描述
|
WordPress Web Stories plugin 1.25.0之前版本存在输入验证错误漏洞,该漏洞源于其/v1/hotlink/proxy REST API端点的url参数对URL验证不足,攻击者可利用漏洞可以向来自web应用程序的任意位置发出web请求,并可用于查询和修改来自内部服务的信息。 |
漏洞类型
|
通用型漏洞
|
参考链接
|
https://www.wordfence.com/vulnerability-advisories-continued/#CVE-2022-3708 |
漏洞解决方案
|
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://www.wordfence.com/vulnerability-advisories-continued/#CVE-2022-3708 |
厂商补丁
|
https://www.wordfence.com/vulnerability-advisories-continued/#CVE-2022-3708
|
验证信息
|
(暂无验证信息)
|
02
Microsoft Excel代码执行漏洞
CNVD-ID
|
CNVD-2023-80162
|
公开日期
|
2023-10-25
|
危害级别
|
高
|
影响产品
|
Microsoft Office 2019 for Mac Microsoft 365 Apps for Enterprise Microsoft Office LTSC 2021 Microsoft Office LTSC for Mac 2021 Microsoft Microsoft Office for Universal |
CVE ID
|
CVE-2023-33158
|
漏洞描述
|
Microsoft Office Excel存在代码执行漏洞,攻击者可利用该漏洞在系统上执行任意代码。
|
漏洞类型
|
通用型漏洞
|
参考链接
|
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-33158multiple-vulnerabilities
|
漏洞解决方案
|
厂商已发布了漏洞修复程序,请及时关注更新: https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-33158 |
厂商补丁
|
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-33158
|
验证信息
|
(暂无验证信息)
|
03
Apache Airflow授权问题漏洞
CNVD-ID
|
CNVD-2023-80561
|
公开日期
|
2023-10-25
|
危害级别
|
中
|
影响产品
|
Apache Airflow <2.7.2
|
C
VE ID
|
CVE-2023-42792
|
漏洞描述
|
Apache Airflow存在授权问题漏洞,该漏洞源于允许对某些DAG具有有限访问权限的经过身份验证的用户构造一个请求,该请求可以授予用户对用户无权访问的DAG的各种DAG资源的写访问权限。攻击者可利用该漏洞能够清除他们不应该清除的DAG。
|
漏洞类型
|
通用型漏洞
|
参考链接
|
https://nvd.nist.gov/vuln/detail/CVE-2023-35670
|
漏洞解决方案
|
厂商已发布了漏洞修复程序,请及时关注更新: https://lists.apache.org/thread/1spbo9nkn49fc2hnxqm9tf6mgqwp9tjq |
厂商补丁
|
https://lists.apache.org/thread/1spbo9nkn49fc2hnxqm9tf6mgqwp9tjq
|
验证信息
|
(暂无验证信息)
|
04
WordPress Quiz And Survey Master SQL注入漏洞
CNVD-ID
|
CNVD-2023-74814
|
公开日期
|
2023-10-08
|
危害级别
|
高
|
影响产品
|
WordPress Quiz And Survey Master <=7.3.4
|
C
VE ID
|
CVE-2021-36898
|
漏洞描述
|
WordPress Quiz And Survey Master plugin 7.3.4及其之前版本存在SQL注入漏洞,该漏洞源于应用缺少对外部输入SQL语句的验证。攻击者可利用该漏洞执行非法SQL命令窃取数据库数据。
|
漏洞类型
|
通用型漏洞
|
参考链接
|
https://patchstack.com/database/vulnerability/quiz-master-next/wordpress-quiz-and-survey-master-plugin-7-3-4-auth-sql-injection-sqli-vulnerability?_s_id=cve
|
漏洞解决方案
|
厂商尚未提供漏洞修复方案,请关注厂商主页更新: https://wordpress.org/plugins/quiz-master-next/#developers |
厂商补丁
|
https://wordpress.org/plugins/quiz-master-next/#developers
|
验证信息
|
(暂无验证信息)
|
05
Apache InLong数据伪造问题漏洞
CNVD-ID
|
CNVD-2023-80560
|
公开日期
|
2023-10-25
|
危害级别
|
中
|
影响产品
|
Apache Apache InLong >=1.4.0,<=1.8.0
|
C
VE ID
|
CVE-2023-43666
|
漏洞描述
|
Apache InLong 1.4.0到1.8.0版本存在数据伪造问题漏洞,该漏洞源于网络系统或产品未充分验证数据的来源或真实性。攻击者可利用该漏洞可以像管理员帐户一样查看所有用户数据。
|
漏洞类型
|
通用型漏洞
|
参考链接
|
https://nvd.nist.gov/vuln/detail/CVE-2023-43666
|
漏洞解决方案
|
厂商已发布了漏洞修复程序,请及时关注更新: https://lists.apache.org/thread/scbgh3ty3xcxm3q33r2t9f42gwwo1why |
厂商补丁
|
https://lists.apache.org/thread/scbgh3ty3xcxm3q33r2t9f42gwwo1why
|
验证信息
|
(暂无验证信息)
|
06
Apache InLong代码问题漏洞
CNVD-ID
|
CNVD-2023-80559
|
公开日期
|
2023-10-25
|
危害级别
|
高
|
影响产品
|
Apache Apache InLong >=1.4.0,<=1.8.0
|
CVE ID
|
CVE-2023-43668
|
漏洞描述
|
Apache InLong是美国阿帕奇(Apache)基金会的一站式的海量数据集成框架。提供自动化、安全、可靠的数据传输能力。 Apache InLong 1.4.0到1.8.0版本存在代码问题漏洞,该漏洞源于一些敏感参数检查可以被绕过,攻击者可利用该漏洞进行授权绕过。 |
漏洞类型
|
通用型漏洞
|
参考链接
|
https://nvd.nist.gov/vuln/detail/CVE-2023-43668
|
漏洞解决方案
|
|
厂商补丁
|
https://lists.apache.org/thread/16gtk7rpdm1rof075ro83fkrnhbzn5sh
|
验证信息
|
(暂无验证信息)
|
07
Linux Kernel eBPF本地权限提升漏洞
CNVD-ID
|
CNVD-2023-74539
|
公开日期
|
2023-10-07
|
危害级别
|
中
|
影响产品
|
Linux Linux Kernel <6.3
|
漏洞描述
|
|
漏洞类型
|
通用型漏洞
|
参考链接
|
https://www.zerodayinitiative.com/advisories/ZDI-23-1489/
|
漏洞解决方案
|
厂商已发布了漏洞修复程序,请及时关注更新: https://lore.kernel.org/all/20230121002241.2113993-1-memxor@gmail.com/ |
厂商补丁
|
https://lore.kernel.org/all/20230121002241.2113993-1-memxor@gmail.com/
|
验证信息
|
(暂无验证信息)
|
08
Oracle Application Expresss存在未明漏洞
CNVD-ID
|
CNVD-2023-78610
|
公开日期
|
2023-10-20
|
危害级别
|
高
|
影响产品
|
|
C
VE ID
|
CVE-2023-21975
|
漏洞描述
|
Oracle Application Express的Application Express Customers Plugin存在安全漏洞,攻击者可利用此漏洞导致Application Express客户插件被接管。
|
漏洞类型
|
通用型漏洞
|
参考链接
|
https://www.oracle.com/security-alerts/cpujul2023.html
|
漏洞解决方案
|
厂商已发布了漏洞修复程序,请及时关注更新: https://www.oracle.com/security-alerts/cpujul2023.html |
厂商补丁
|
https://www.oracle.com/security-alerts/cpujul2023.html
|
验证信息
|
(暂无验证信息)
|
09
Microsoft Office权限提升漏洞
CNVD-ID
|
CNVD-2023-80167
|
公开日期
|
2023-10-26
|
危害级别
|
高
|
影响产品
|
Microsoft Office 2019 Microsoft 365 Apps for Enterprise Microsoft Office LTSC 2021 |
C
VE-ID
|
CVE-2023-36569
|
漏洞描述
|
Microsoft Office是美国微软(Microsoft)公司的一款办公软件套件产品。该产品常用组件包括Word、Excel、Access、Powerpoint、FrontPage等。 Microsoft Office存在权限提升漏洞,攻击者可利用该漏洞升级权限。 |
漏洞类型
|
通用型漏洞
|
参考链接
|
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-36569 |
漏洞解决方案
|
厂商已发布了漏洞修复程序,请及时关注更新: https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-36569 |
厂商补丁
|
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-36569
|
验证信息
|
(暂无验证信息)
|
10
Apache ActiveMQ远程代码执行漏洞
CNVD-ID
|
CNVD-2023-80853
|
公开日期
|
2023-10-26
|
危害级别
|
高
|
影响产品
|
Apache ActiveMQ < 5.18.3
|
漏洞描述
|
Apache ActiveMQ存在远程代码执行漏洞,当未经身份认证的攻击者可利用该漏洞访问Apache ActiveMQ的端口,通过发送恶意数据在远程服务器上执行代码,进而控制服务器。
|
漏洞类型
|
通用型漏洞
|
参考链接
|
https://github.com/apache/activemq/tags
|
漏洞解决方案
|
用户可参考如下供应商提供的安全公告获得补丁信息: https://github.com/apache/activemq/tags |
厂商补丁
|
https://github.com/apache/activemq/tags
|
验证信息
|
(暂无验证信息)
|