雷神众测漏洞周报2023.04.03-2023.04.09

原创 雷神众测 雷神众测 2023-04-11 15:02

以下内容，均摘自于互联网，由于传播，利用此文所提供的信息而造成的任何直接或间接的后果和损失，均由使用者本人负责，雷神众测以及文章作者不承担任何责任。雷神众测拥有该文章的修改和解释权。如欲转载或传播此文章，必须保证此文章的副本，包括版权声明等全部内容。声明雷神众测允许，不得任意修改或增减此文章内容，不得以任何方式将其用于商业目的。

目录

1.Apache Kafka代码问题漏洞

2.Apache NiFi XML外部实体注入漏洞

3.武汉达梦数据库股份有限公司DM8存在文件上传漏洞

4.Apache Dubbo代码问题漏洞

漏洞详情

1.Apache Kafka代码问题漏洞

漏洞介绍：

Apache Kafka是美国阿帕奇（Apache）基金会的一套开源的分布式流媒体平台。该平台能够获取实时数据，用于构建对数据流的变化进行实时反应的应用程序。

漏洞危害：

Apache Kafka Connect存在代码问题漏洞，攻击者可利用该漏洞在受害者的系统上执行任意代码。

漏洞编号：

CVE-2023-25194

影响范围：

Apache Kafka >=2.3.0，<=3.3.2

修复方案：

及时测试并升级到最新版本或升级版本
。

来源：CNVD

2.Apache NiFi XML外部实体注入漏洞

漏洞介绍：

Apache NiFi是美国阿帕奇（Apache）基金会的一套数据处理和分发系统。该系统主要用于数据路由、转换和系统中介逻辑。

漏洞危害：

Apache NiFi 1.2.0版本至1.19.1版本存在XML外部实体注入漏洞，该漏洞源于未能限制XML外部实体引用。远程攻击者可利用该漏洞通过发送特制的XML文件读取文件。

漏洞编号：

CVE-2023-
25194

影响范围：

Apache Kafka >=2.3.0，<=3.3.2

修复建议：

及时测试并升级到最新版本或升级版本。

来源：
CNVD

3.武汉达梦数据库股份有限公司DM8存在文件上传漏洞

漏洞介绍：

DM8是达梦公司在总结DM系列产品研发与应用经验的基础上，坚持开放创新、简洁实用的理念，推出的新一代自研数据库。

漏洞危害：

武汉达梦数据库股份有限公司DM8存在文件上传漏洞，攻击者可利用该漏洞获取服务器控制权。

影响范围：

武汉达梦数据库股份有限公司 DM8 x86 win64 2022-0714 build

修复方案：

及
时测试并升级到最新版本或升级版本。

来源：
CNVD

4.Apache Dubbo代码问题漏洞

漏洞介绍：

Apache Dubbo是美国阿帕奇（Apache）基金会的一款基于Java的轻量级RPC（远程过程调用）框架。该产品提供了基于接口的远程呼叫、容错和负载平衡以及自动服务注册和发现等功能。

漏洞危害：

Apache Dubbo存在安全漏洞，该漏洞源于应用程序在接收用户提交的序列化数据的不安全反序列化处理，攻击者可利用该漏洞导致恶意代码执行。

漏洞编号：

CVE-2023-
23638

影响范围：

Apache Dubbo >=2.7.0，<=2.7.21

Apache Dubbo >=3.0.0，<=3.0.13

Apache Dubbo >=3.1.0，<=3.1.5

修复方案：

及时测试并升级到最新版本或升级版本。

来源：CNVD

专注渗透测试技术

全球最新网络攻击技术

END