安全漏洞周报（2023.12.18-2023.12.25）

漏洞速览

■  Apache Dubbo多个反序列化漏洞安全
■   Google Chrome WebRTC 堆缓冲区溢出漏洞(CVE-2023-7024)

■   金蝶Apusic应用服务器远程代码执行漏洞

■ Zabbix Server session 泄漏漏洞 (CVE-2023-32725)

漏洞详情

 1.Apache Dubbo多个反序列化漏洞安全

影响组件： Apache Dubbo 是一款高性能、轻量级的开源 Java 服务框架。Apache Dubbo提供了六大核心能力：面向接口代理的高性能RPC调用，智能容错和负载均衡，服务自动注册和发现，高度可扩展能力，运行期流量调度，可视化的服务治理与运维。 漏洞危害： 攻击者通过向系统发送恶意数据包利用这些漏洞，成功后可以读取敏感信息或执行恶意代码。 影响范围： Apache Dubbo 反序列化漏洞(CVE-2023-46279)： Apache Dubbo == 3.1.5 A pache Dubbo 反序列化漏洞(CVE-2023-29234)： Apache Dubbo 3.2.x <= 3.2.4 Apache Dubbo 3.1.x <= 3.1.10 修复方案： 目前官方已有可更新版本，建议受影响用户升级至最新版本。 https://github.com/apache/dubbo/releases

2.Google Chrome WebRTC 堆缓冲区溢出漏洞(CVE-2023-7024)

影响组件： Chrome是一款由Google公司开发的免费的、快速的互联网浏览器软件，目标是为使用者提供稳定、安全、高效的网络浏览体验。Google Chrome基于更强大的JavaScript V8引擎，提升浏览器的处理速度。支持多标签浏览，每个标签页面都在独立的“沙箱”内运行。WebRTC 是众多 Web 浏览器（包括 Mozilla Firefox、Safari 和 Microsoft Edge）使用的关键组件，用于通过 JavaScript API 提供视频流、文件共享和 VoIP 电话等实时通信 (RTC) 功能。 漏洞危害： 该漏洞存在在野利用，攻击者可通过诱导用户打开恶意链接来利用此漏洞，从而在应用程序上下文中执行任意代码或导致浏览器崩溃。 影响范围： GoogleChrome(Windows)<120.0.6099.129/130 GoogleChrome(Mac/Linux)<120.0.6099.129 &nbsp; &nbsp; 修复方案： 目前官方已发布安全更新，受影响用户可以更新到最新版本 。

3.金蝶Apusic应用服务器远程代码执行漏洞

影响组件： 金蝶Apusic应用服务器（Kingdee Apusic Application Server）是金蝶软件推出的一款企业级Java应用服务器。它提供了一个稳定、高效、可扩展的运行环境，用于部署和管理企业级Java应用程序。 漏洞危害： 攻击者可以构建绕过权限控制的请求，恶意访问和操作管控台，导致安全风险，配合其他安全缺陷即可导致远程代码执行。
影响范围： &nbsp; &nbsp; V9.0 SP7及以下版本 修复方案： 官方已发布修复方案，已经在最新的V9.0 SP8版本解决： https://www.apusic.com/view-477-113.html

4.Zabbix Server session 泄漏漏洞（CVE-2023-32725）

影响组件： Zabbix是一个开源的实时监控软件，用于监控IT设备的状态和性能。 漏洞危害： 2023年12月，Zabbix官方发布安全公告，披露在使用了URL widget时，其中的URL网站可能获取到Zabbix Session Cookie信息，进而可利用获取的Cookie登录进入Zabbix。 影响范围： &nbsp; &nbsp; 6.0.0 - 6.0.21 / 6.0.22rc1 6.4.0 - 6.4.6 / 6.4.7rc1 7.0.0alpha1-7.0.0alpha3/7.0.0alpha4 修复方案： 官方已发布安全更新，建议升级至最新版本。 https://support.zabbix.com/browse/ZBX-23854

以上内容均摘自于互联网，由于传播，利用此文所提供的信息而造成的任何直接或间接的后果和损失，均由使用者本人负责，易安联以及文章作者不承担任何责任。

易安联高级攻防实验室

易安联高级攻防实验室，是易安联为落实公司发展战略，促进网络空间安全生态建设，孵化下一代安全能力，进行高级别的攻防对抗研究而组建的专业性安全实验室。推出的威胁情报和天织DNS威胁分析平台，可以为用户提供高效的威胁防护能力，帮助用户更好地应对各类网络威胁。

关于易安联&nbsp;

江苏易安联网络技术有限公司（www.enlink.top，简称易安联）是专业从事网络信息安全产品研发与销售的高新技术企业，是国内领先的“零信任”产品及解决方案提供商，公司总部位于南京，在北京、深圳、安徽、山东、杭州、西安等地设立分支机构，公司致力于成为国内零信任安全行业领导者！

易安联专注零信任安全，先后发布EnSDP（零信任安界防护平台）、EnBox（零信任安全工作空间）、EnCASB（零信任云应用安全接入平台）、EnAppGate（统一资源发布系统）、EnIAM（零信任身份管理平台）、EnDTA(天织·DTA威胁分析系统)等多款产品及解决方案，推出ZTNA零信任网络架构解决方案和EnSASE安全访问服务边缘解决方案并提供包括安全运维、实战攻防、应急演练等安全服务。公司目前客户已超800家，涵盖教育、金融、电力、互联网、运营商等行业。

https://mp.weixin.qq.com/s/zs70HW1F345LWeENMOX1ww