雷神眾測漏洞周報2024.2.26-2024.3.3

摘要

以下內(nèi)容，均摘自于互聯(lián)網(wǎng)，由于傳播，利用此文所提供的信息而造成的任何直接或間接的后果和損失，均由使用者本人負責，雷神眾測以及文章作者不承擔任何責任。

雷神眾測擁有該文章的修改和解釋權(quán)。如欲轉(zhuǎn)載或傳播此文章，必須保證此文章的副本，包括版權(quán)聲明等全部內(nèi)容。聲明雷神眾測允許，不得任意修改或增減此文章內(nèi)容，不得以任何方式將其用于商業(yè)目的。

目錄

1.Gofiber 存在CORS憑證泄露漏洞

2.Apache OFBiz <18.12.12 路徑遍歷漏洞

3.瑞友天翼應用虛擬化系統(tǒng)存在SQL注入漏洞

4.Microsoft Office遠程代碼執(zhí)行漏洞

漏洞詳情

1.Gofiber 存在CORS憑證泄露漏洞

漏洞介紹：

Gofiber 是一個基于Go語言的輕量級web框架。

漏洞危害：

受影響版本中，Web應用中的CORS中間件允許不安全的配置(例如：同時設(shè)置Access-Control-Allow-Origin 通配符`*`并且Access-Control-Allow-Credentials為true)，攻擊者可以利用這種不安全的配置，通過構(gòu)造特定的跨源請求竊取其他用戶的用戶憑證(如cookies、HTTP認證信息等)。

瀏覽器提供的 fetch API 以及強制執(zhí)行 CORS 策略的瀏覽器和實用程序不受此漏洞影響。

漏洞編號：

CVE-2024-25124

影響范圍：

github.com/gofiber/fiber/v2@(-∞, 2.52.1)

github.com/gofiber/fiber/v2/middleware/cors@(-∞, 2.52.1)

修復方案：

及時測試并升級到最新版本或升級版本

來源：OSCS

2.Apache OFBiz <18.12.12 路徑遍歷漏洞

漏洞介紹：

Apache OFBiz 是一個開源的企業(yè)資源計劃系統(tǒng)。

漏洞危害：

Apache OFBiz 中由于未充分驗證用戶輸入的 contextPath 而導致存在路徑遍歷漏洞，未授權(quán)的攻擊者可以通過構(gòu)造惡意請求繞過認證，進而訪問系統(tǒng)中的資源。修復代碼通過將contextPath轉(zhuǎn)換為一個URI對象，并調(diào)用.normalize()方法來規(guī)范化路徑，從而防止路徑遍歷。

漏洞編號：

CVE-2024-25065

影響范圍：

ofbiz@(-∞, 18.12.12)

修復方案：

及時測試并升級到最新版本或升級版本

來源：OSCS

3.瑞友天翼應用虛擬化系統(tǒng)存在SQL注入漏洞

漏洞介紹：

西安瑞友信息技術(shù)資訊有限公司是專業(yè)從事虛擬化及云計算解決方案提供商。

漏洞危害：

瑞友天翼應用虛擬化系統(tǒng)存在SQL注入漏洞，攻擊者可利用該漏洞獲取數(shù)據(jù)庫信息進而執(zhí)行命令。

影響范圍：

西安瑞友信息技術(shù)資訊有限公司 瑞友天翼應用虛擬化系統(tǒng) 7.0.5.1

修復方案：

及時測試并升級到最新版本或升級版本

來源：CNVD

4.Microsoft Office遠程代碼執(zhí)行漏洞

漏洞介紹：

Microsoft Office是微軟公司開發(fā)的一套基于Windows操作系統(tǒng)的辦公軟件套裝。

漏洞危害：

Microsoft Office存在遠程代碼執(zhí)行漏洞，攻擊者可利用該漏洞在系統(tǒng)上執(zhí)行任意代碼。

漏洞編號：

CVE-2024-20673

影響范圍：

Microsoft Office 2016

Microsoft Excel 2016

Microsoft Word 2016

Microsoft Publisher 2016

Microsoft PowerPoint 2016

Microsoft Skype for Business 2016

Microsoft Office LTSC 2021

Microsoft Office 2019

修復方案：

及時測試并升級到最新版本或升級版本

來源：CNVD

專注滲透測試技術(shù)

全球最新網(wǎng)絡攻擊技術(shù)

END