漏洞公告 / 【漏洞通告】易安联漏洞周报2023.11.10-2023.11.17

【漏洞通告】易安联漏洞周报2023.11.10-2023.11.17

公告编号：漏洞周报作者：admin发布日期：2023/11/24

以下内容，均摘自于互联网，由于传播，利用此文所提供的信息而造成的任何直接或间接的后果和损失，均由使用者本人负责，易安联以及文章作者不承担任何责任。

1.海康威视综合安防管理平台文件上传漏洞

2.金蝶云星空私有云任意文件上传漏洞

3.Apache Arrow PyArrow 任意代码执行漏洞（CVE-2023-47248）

漏洞详情

1. 海康威视综合安防管理平台文件上传漏洞

漏洞介绍：

HIKVISION iSecure Center综合安防管理平台是一套“集成化”、“智能化”的平台，通过接入视频监控、一卡通、停车场、报警检测等系统的设备，获取边缘节点数据，实现安防信息化集成与联动，以电子地图为载体，融合各系统能力实现丰富的智能应用。

漏洞危害：

攻击者利用该漏洞上传Webshell，并随后执行任意命令，对主机上相关文件进行加密，加密后缀为locked1。该漏洞利用成本极低，危害极高。

影响范围：

海康威视 iVMS-8700 V2.0.0 - V2.9.2

海康威视 iSecure Center V1.0.0 - V1.7.0

修复方案：

官方修复方案：

及时联系官方获取更新补丁

https://www.hikvision.com/cn/support/CybersecurityCenter/SecurityNotices/2023-03/

临时修复方案：

在未升级的情况下，停止将相关平台开放到互联网。

2. 金蝶云星空私有云任意文件上传漏洞

漏洞介绍：

金蝶云星空是由金蝶国际软件集团开发的一款企业级云平台。

漏洞危害：

该漏洞允许未授权的远程攻击者上传任意文件，最终可能导致远程执行恶意命令，控制服务器等。

影响版本：

金蝶云星空企业版私有云、企业版私有云（订阅）、标准版私有云（订阅）三个产品。

涉及版本：V6.2(含17年12月补丁) 至 V8.1(含23年9月补丁)

修复方案：

目前官方已经发布补丁，建议受影响用户尽快安装补丁：

https://vip.kingdee.com/school/detail/505412093244235264?productLineId=1

3.Apache Arrow PyArrow 任意代码执行漏洞（CVE-2023-47248）

漏洞介绍：

PyArrow是一个用于在Python中处理大规模数据集的开源工具。它是Apache Arrow项目的Python库，旨在提供高效的数据交换和分析功能。

漏洞危害：

该漏洞是由于PyArrow 组件0.14.0到14.0.0版本中的IPC和Parquet读取器中反序列化不受信任的数据导致的。攻击者可利用该漏洞，构造恶意数据执行任意代码执行攻击。

影响版本：

0.14.0 ≤ PyArrow < 14.0.1

修复方式：

当前官方已发布最新版本，建议受影响的用户及时更新升级到最新版本。链接如下：

https://pypi.org/project/pyarrow/

升级方法:

pip install -U pyarrow