WuThreat身份安全云-TVD每日漏洞情报-2023-06-07
2022-04-17 01:36:06
2023年6月7日WuThreat身份安全云-TVD每日漏洞情报核心内容如下:
一、严重级别漏洞(2项)Abstrium Pydio Cells 用户创建资源注入漏洞
漏洞编号:CVE-2023-2980(CNNVD-202305-2619)
影响范围:TOTOLINK X18 9.1.0cu.2024_B20220329版本
漏洞特性:攻击者可利用用户创建功能注入恶意资源,导致服务端代码执行或数据篡改。
利用条件:需通过合法用户身份触发资源创建接口,结合特定参数构造注入攻击。
GeoServer OGC SQL注入漏洞
漏洞编号:CVE-2023-25157(CNNVD-202302-1717)
影响范围:GeoServer全版本(未明确修复版本)
漏洞特性:攻击者通过构造恶意OGC(开放地理空间联盟)请求,注入SQL语句窃取或篡改地理空间数据。
利用条件:需访问GeoServer的OGC服务接口(如WMS、WFS),无需认证即可触发。
WordPress插件Advanced File Manager不受限制上传漏洞
漏洞编号:CVE-2023-2068(CNNVD-202306-181)
影响范围:WordPress插件Advanced File Manager 2.3.2版本
漏洞特性:插件未对上传文件类型、大小进行限制,攻击者可上传恶意文件(如PHP后门)执行任意代码。
利用条件:需管理员或低权限用户访问插件上传接口,结合文件包含漏洞可提升权限。
Nacos Jraft Hessian反序列化漏洞
漏洞编号:未分配CVE编号
影响范围:Nacos 1.4.0至1.4.6版本(不含1.4.6)
漏洞特性:攻击者通过发送恶意Hessian序列化数据,触发服务端反序列化漏洞执行任意代码。
利用条件:需访问Nacos的Jraft协议接口(如集群通信端口),可能通过内网横向移动扩大攻击面。
- Dahua Smart Parking Management图像服务器端请求伪造漏洞
漏洞编号:CVE-2023-3121
影响范围:Dahua Smart Parking Management全版本(未明确修复版本)
漏洞特性:攻击者通过构造恶意URL请求,伪造服务器端请求访问内网资源(如管理后台、数据库)。
利用条件:需知晓目标系统内部服务结构,结合社会工程学或钓鱼攻击提高成功率。
- 漏洞验证:所有漏洞均已公开POC(概念验证代码),企业应通过无胁科技漏洞情报中心获取最新检测工具。
- 修复优先级:
紧急修复:Abstrium Pydio Cells、GeoServer漏洞(严重级别,可能导致数据泄露或系统沦陷)。
限期修复:WordPress插件、Nacos漏洞(高危级别,易被自动化工具利用)。
监控修复:Dahua Smart Parking漏洞(低危但可能泄露敏感信息)。
- 防御措施:
升级受影响组件至最新版本(如Nacos升级至1.4.6+)。
限制OGC服务、文件上传接口的访问权限。
部署WAF(Web应用防火墙)拦截SQL注入、反序列化攻击请求。
注:本情报基于公开漏洞信息整理,企业需结合自身资产清单评估实际风险。
热门标签
