关键漏洞信息 漏洞概述 CVE ID: 多个CVE,包括CVE-2023-5893、CVE-2023-5874等。 产品: IBM Aspera Faspex 5 版本: 5.0.14及以下版本 主要漏洞详情 1. CVE-2023-5893 - 描述: Active Record连接到关系数据库表时,某些ID可能未正确转义,导致潜在的SQL注入风险。 - CVSS评分: 2.7 - 修复版本: 7.1.5.2, 7.2.2.2, 8.0.2.1 2. CVE-2023-5874 - 描述: REXML在处理包含多个XML文档的XML内容时存在DoS漏洞。 - CVSS评分: 5.3 - 修复版本: 3.4.2或更高版本 3. CVE-2023-54762 - 描述: Ruby SAML库在实现客户端SAML授权时存在拒绝服务漏洞。 - CVSS评分: 6.9 - 修复版本: 1.11.0及以上版本 4. CVE-2023-56725 - 描述: IBM Aspera Faspex可能泄露敏感用户信息。 - CVSS评分: 4.3 - 修复版本: 1.4.0 5. CVE-2023-5814 - 描述: Thor 1.4.0可以从输入参数构造一个shell命令。 - CVSS评分: 2.8 - 修复版本: 未指定 6. CVE-2023-37481 - 描述: IBM Aspera使用了一个包含不应被信任的域的跨域策略文件。 - CVSS评分: 5.8 - 修复版本: 未指定 7. CVE-2023-56721 - 描述: IBM Aspera Faspex允许特权用户通过滥用API调用导致资源消耗。 - CVSS评分: 4.9 - 修复版本: 未指定 影响的产品和版本 受影响产品: Aspera Faspex 5 受影响版本: 5.0.0至5.0.14 修复建议 推荐升级: 升级到Faspex 5.0.14或更高版本。 工作区和缓解措施 暂无特定工作区和缓解措施。