【企业安全-华云安漏洞安全周报【第167期】】此文章归类为:企业安全。
根据,本周(2023.12.25~2023.12.31)CNNVD接报漏洞1361个,其中信息技术产品漏洞(通用型漏洞)864个,网络信息系统漏洞(事件型漏洞)497个,其中华云安报送169份;CNNVD收录漏洞通报69份,其中华云安报送2份。
本周重点关注漏洞包括:CVE-2023-51467 Apache OFBiz 代码问题漏洞、CVE-2023-47804 Apache OpenOffice 安全漏洞、CVE-2023-50571 Easy Rules 代码执行漏洞、CVE-2023-49299 Apache DolphinScheduler 输入验证错误漏洞。漏洞影响范围较广,华云安建议相关用户做好资产自查与预防工作。
01 CVE-2023-51467 Apache OFBiz 代码问题漏洞
威胁等级:超危
漏洞描述:
2024年12月26日,华云安思境安全团队监测发现 Apache 官方发布安全通告,披露了 Apache OFBiz 18.12.11 之前版本存在代码问题漏洞。Apache OFBiz 是一套开源的ERP系统,该系统提供了一整套基于 Java 的 Web 应用程序组件和工具,使组织能够根据自己的需求定制ERP。攻击者可能绕过身份验证来实现服务器端请求伪造。
情报来源:
02 CVE-2023-47804 Apache OpenOffice 安全漏洞
威胁等级:高危
漏洞描述:
2023年12月29日,华云安思境安全团队监测发现 Apache 官方发布安全通告,披露了 Apache OpenOffice 4.1.14及之前版本存在安全漏洞。Apache OpenOffice 是一款开源免费的办公套件,这款软件可以代替 Microsoft office。Apache OpenOffice 包含文本文档、电子表格、演示文稿、绘图、数据库等。攻击者可能使用任意参数调用内部宏的链接并执行任意脚本。
情报来源:
03 CVE-2023-50571 Easy Rules 代码执行漏洞
威胁等级:高危
漏洞描述:
2023年12月29日,华云安思境安全团队监测到 Jeasy 官方发布安全通告,披露了 Easy Rules v4.1.0 版本存在代码执行漏洞。Easy Rules 是 Jeasy 开源的一个 Java 规则引擎,它可以设计和实现业务逻辑规则,使得业务规则可以独立于代码进行修改和维护。攻击者可能利用此漏洞通过组件 MVELRule 执行代码。
情报来源:
04 CVE-2023-49299 Apache DolphinScheduler 输入验证错误漏洞
威胁等级:高危
漏洞描述:
2023年12月29日,华云安思境安全团队监测发现 Apache 官网发布安全通告,披露了Apache DolphinScheduler 3.1.9及之前版本存在输入验证错误漏洞。Apache DolphinScheduler 是一个分布式、去中心化、易扩展的可视化DAG工作流任务调度系统。攻击者远程可能利用该漏洞在服务器上执行任意代码。
情报来源:
华云安
华云安是一家深耕于网络空间安全领域的高新技术企业,专注于漏洞研究、攻防对抗、产品研发、安全服务;致力于对主动防御、情报协同、溯源反制能力进行融合创新,以攻击者视角构建攻击面管理安全能力平台,提供新一代网络安全对抗防御解决方案。公司服务于国家网络安全监管部门及金融、能源、教育、医疗等关键信息基础设施行业。
公司持续构建的原子化安全能力平台,秉承数据驱动、AI引领的理念,通过基于知识图谱的安全风险库和场景化人工智能引擎两大核心技术,结合不同的业务需求灵活组合安全能力,实现一个平台覆盖所有安全能力。
更多【企业安全-华云安漏洞安全周报【第167期】】相关视频教程:www.yxfzedu.com