1、紫光电子档案管理系统SQL注入漏洞
漏洞:紫光电子档案管理系统是由紫光软件系统有限公司自主研发的通用档案管理系统,旨在为政府机关、企事业单位提供高质量的档案信息化解决方案,该系统存在SQL注入漏洞。
漏洞威胁:未经身份验证的攻击者可以利用该漏洞获取数据库中的信息(如管理员后台密码、站点的用户个人信息),甚至在某些情况下可以向服务器中写入木马,进一步获取服务器系统权限。
漏洞复现:攻击者可以通过发送特定的POST请求来利用该漏洞,POST /Archive/ErecordManage/selectFileRemote HTTP/1.1。
修复建议:关闭互联网暴露面或接口设置访问权限,并在本地创建数据库,修改数据库的配置。
2、用友NC Cloud runScript SQL注入漏洞
漏洞:用友NC Cloud系统中的runScript接口存在SQL注入安全漏洞。
漏洞威胁:攻击者可以通过构造恶意的输入数据,将非法的SQL命令插入到原本正常的数据库查询语句中,从而绕过授权机制,未经授权地直接访问、修改或删除数据库中的敏感信息。
修复建议:需要对相关接口进行严格的输入验证和过滤,防止恶意SQL命令的注入。
3、Django SQL注入漏洞(CVE-2021-35402)
漏洞:Django是一个开放源代码的Web应用框架,采用了MVC的框架模式,其组件存在SQL注入漏洞(CVE-2021-35402)。
漏洞威胁:攻击者可以在未登录的情况下构造恶意的SQL命令,在未授权的情况下执行构造的数据,导致应用程序崩溃或执行任意命令。
修复建议:需要对QuerySet.order_by()用户提供的数据进行足够的过滤,以防止SQL注入。
4、通达OA 11.7后台sql注入getshell漏洞
漏洞:通达OA 11.7版本存在后台sql注入getshell漏洞。
漏洞威胁:攻击者可以利用该漏洞获取服务器的控制权,执行任意命令,导致系统被完全控制。
修复建议:需要对后台接口进行严格的输入验证和过滤,防止SQL注入攻击。
5、MinIO信息泄露漏洞(CVE-2023-28432)
漏洞:MinIO是一款高性能的对象存储服务,用于大规模数据存储,其存在信息泄露漏洞(CVE-2023-28432)。
漏洞威胁:由于Minio集群进行信息交换的9000端口在未经配置的情况下通过发送特殊HTTP请求进行未授权访问,进而导致MinIO对象存储的相关环境变量泄露,包括密钥信息(MINIO_SECRET_KEY和MINIO_ROOT_PASSWORD)。
修复建议:需要对9000端口进行适当的配置,限制未授权的访问。
这些漏洞的存在可能会对系统的安全性造成严重影响,因此建议相关系统的开发者和用户尽快采取修复措施,以降低潜在的安全风险,也需要加强对系统的安全审计和监控,及时发现并处理可能存在的其他安全隐患。
本文来源于互联网,如若侵权,请联系管理员删除,本文链接:https://www.9969.net/58373.html
