关键漏洞信息 漏洞概述 安全通告:5个问题影响CMS 发布日期:2023年5月30日 建议升级版本:2.3.17 或 3.3.5 漏洞详情 1. 路径穿越和远程代码执行 (RCE) - 描述:已登录用户可上传特殊构造的ZIP文件,导致恶意文件放置在Web服务器上并实现远程代码执行 - 影响版本:1.8.0及后续版本 - 修复版本:2.3.17 和 3.3.5 - CVE:CVE-2023-33177 2. SQL注入 - 描述:已登录用户可利用SQL注入获取数据库中的敏感信息 - 影响版本:1.4.0及后续版本 - 修复版本:2.3.17 和 3.3.5 - CVE:CVE-2023-33178 3. SQL注入 - 描述:已登录用户可利用SQL注入获取数据库中的敏感信息 - 影响版本:3.2.0及后续版本 - 修复版本:3.3.5 - CVE:CVE-2023-33179 4. SQL注入 - 描述:已登录用户可利用SQL注入获取数据库中的敏感信息 - 影响版本:3.2.0及后续版本 - 修复版本:3.3.5 - CVE:CVE-2023-33180 5. 暴露的堆栈跟踪 - 描述:错误消息中输出与服务器目录结构相关的信息 - 影响版本:3.0.0及后续版本 - 修复版本:3.3.5 - CVE:CVE-2023-33181 其他信息 致谢:感谢Claro ty Research - Team82的Noam Moshe负责地披露这些漏洞,并给予时间发布2.3.17/3.3.5版本 云平台配置:云平台的配置使得路径穿越和RCE漏洞的利用更加困难,甚至可能无法利用