公告编号:漏洞通告作者:admin发布日期:2023/12/29
以下内容,均摘自于互联网,由于传播,利用此文所提供的信息而造成的任何直接或间接的后果和损失,均由使用者本人负责,易安联以及文章作者不承担任何责任。
易安联SRC拥有该文章的修改和解释权。如欲转载或传播此文章,必须保证此文章的副本,包括版权声明等全部内容。声明易安联允许,不得任意修改或增减此文章内容,不得以任何方式将其用于商业目的。
目录
1. Apache OFBiz远程代码执行漏洞(CVE-2023-51467)
2. OpenSSH ProxyCommand命令执行漏洞
漏洞详情
1. Apache OFBiz远程代码执行漏洞(CVE-2023-51467)
影响组件:
Apache OFBiz是一个电子商务平台,用于构建大中型企业级、跨平台、跨数据库、跨应用服务器的多层、分布式电子商务类应用系统。
漏洞危害:
经过分析和研判,该漏洞利用难度低,攻击者可构造恶意请求绕过身份认证,利用后台相关接口功能执行groovy代码,导致远程代码执行,建议尽快修复。
影响范围:
version < 18.12.11
修复方案:
厂商已发布漏洞修复程序,请前往以下地址进行更新。
2. OpenSSH ProxyCommand命令执行漏洞
影响组件:
OpenSSH是SSH协议的开源实现,支持对所有的传输进行加密, 广泛应用于远程管理系统和安全文件传输。ProxyCommand是一个OpenSSH客户端中被广泛使用的功能,它允许指定自定义命令来代理 SSH 连接。
漏洞危害:
经分析和研判,该漏洞利用难度低,但可利用场景较为固定。目前判断可能被利用的一个场景是配合Github项目进行投毒
影响范围:
1.OpenSSH version < 9.6p1
修复方案:
厂商已发布漏洞修复程序,请前往以下地址进行更新。
