安全漏洞周报（2023.12.04-2023.12.11）

漏洞速览

■   Apache Struts 代码执行漏洞(CVE-2023-50164)

■ Apache OFBiz 远程代码执行漏洞(CVE-2023-49070)

■ Spring Framework 拒绝服务漏洞（CVE-2023-34053）

■ 用友U8 cloud远程代码执行漏洞

漏洞详情

 1. Apache Struts 代码执行漏洞(CVE-2023-50164)

影响组件： Apache Struts 2是一个用于开发Java EE网络应用程序的开放源代码网页应用程序架构。它利用并延伸了Java Servlet API，鼓励开发者采用MVC架构。

漏洞危害： 攻击者可以控制文件上传参数执行路径遍历，在某些情况下可以上传恶意文件，从而执行任意代码。

影响范围：     2.5.0 <= Struts <= 2.5.32     6.0.0 <= Struts <= 6.3.0

修复方案： 目前，官方已有可更新版本，建议用户尽快更新到安全版本： Struts >= 2.5.33 Struts >= 6.3.0.2

2. Apache OFBiz 远程代码执行漏洞(CVE-2023-49070)

影响组件： Apache OFBiz是一个电子商务平台，用于构建大中型企业级、跨平台、跨数据库、跨应用服务器的多层、分布式电子商务类应用系统。

漏洞危害： 由于XML-RPC仍然存在于Apache Ofbiz 18.12.10之前的版本，远程未授权攻击者可绕过防护措施访问/webtools/control/xmlrpc利用此漏洞导致任意代码执行，接管目标服务器。

影响范围： Apache OFBiz < 18.12.10
修复方案： 目前官方已有可更新版本，建议受影响用户升级至： Apache OFBiz >= 18.12.10

3. Spring Framework 拒绝服务漏洞（CVE-2023-34053）

影响组件： Spring Framework是一个全面的、模块化的企业应用开发框架，提供了依赖注入、面向切面编程、数据访问、Web 开发等功能 。

漏洞危害： 当Spring Framework满足一些特定条件时，攻击者可以构造恶意HTTP请求执行拒绝服务攻击，最终造成服务器拒绝服务 。

影响范围： 6.0.0 ≤ Spring Framework ≤ 6.0.13
修复方案： 当前官方已发布最新版本，建议受影响的用户及时更新升级到最新版本。链接如下： https://spring.io/projects/spring-framework

4.  用友U8 cloud远程代码执行漏洞

影响组件： U8 cloud是用友推出的新一代云ERP，主要聚焦成长型、创新型企业，提供企业级云ERP整体解决方案 。

漏洞危害： 包括CacheInvokeServlet接口反序列化漏洞）、FileTransportServlet接口反序列化漏洞、PrintTemplateFileServlet接口任意文件删除漏洞，可对用户造成重大风险。

影响范围： 全版本
修复方案： 官方已经发布安全补丁，请尽快升级到最新版，相关链接如下所示： https://security.yonyou.com/#/patchInfo?foreignKey=dc9efa413a644d88b55403cdc150cfea https://security.yonyou.com/#/patchInfo?foreignKey=eb893884876e4bc2acd04ee40dc4cb5fhttps://security.yonyou.com/#/patchInfo?foreignKey=456abb6ce5544ef4a0065fd3a22c1552 以上内容均摘自于互联网，由于传播，利用此文所提供的信息而造成的任何直接或间接的后果和损失，均由使用者本人负责，易安联以及文章作者不承担任何责任。

易安联高级攻防实验室

易安联高级攻防实验室，是易安联为落实公司发展战略，促进网络空间安全生态建设，孵化下一代安全能力，进行高级别的攻防对抗研究而组建的专业性安全实验室。推出的威胁情报和天织DNS威胁分析平台，可以为用户提供高效的威胁防护能力，帮助用户更好地应对各类网络威胁。

关于易安联 

江苏易安联网络技术有限公司（www.enlink.top，简称易安联）是专业从事网络信息安全产品研发与销售的高新技术企业，是国内领先的“零信任”产品及解决方案提供商，公司总部位于南京，在北京、深圳、安徽、山东、杭州、西安等地设立分支机构，公司致力于成为国内零信任安全行业领导者！

易安联专注零信任安全，先后发布EnSDP（零信任安界防护平台）、EnBox（零信任安全工作空间）、EnCASB（零信任云应用安全接入平台）、EnAppGate（统一资源发布系统）、EnIAM（零信任身份管理平台）、EnDTA(天织·DTA威胁分析系统)等多款产品及解决方案，推出ZTNA零信任网络架构解决方案和EnSASE安全访问服务边缘解决方案并提供包括安全运维、实战攻防、应急演练等安全服务。公司目前客户已超800家，涵盖教育、金融、电力、互联网、运营商等行业。

https://mp.weixin.qq.com/s/U4fSruWwhlmaNWcomTg4ig