关键漏洞信息 漏洞概述: - 此邮件包含了关于OXAAS-ADV-2023-0002:OX App Suite Security Advisory的多个漏洞描述。 主要漏洞: - CWE-922 (Insecure Storage of Sensitive Information) - 风险: 本地系统用户可能读取敏感信息。 - CVSS: 3.2 - 解决方案: 在安装包时,更新默认权限。 - CWE-639 (Authorization Bypass Through User-Controlled Key) - 风险: 攻击者可能通过请求任意片段ID,读取未公开的用户签名。 - CVSS: 6.5 - 解决方案: 改进权限处理以限制未共享片段的访问。 - CWE-77 (Improper Neutralization of Special Elements used in a Command ('Command Injection')) - 风险: 攻击者可以通过用户反馈注入意外内容,破坏导出数据结构。 - CVSS: 3.5 - 解决方案: 导出时丢弃所有非空白控制字符。 - CWE-918 (Server-Side Request Forgery (SSRF)) - 风险: 攻击者可能利用IPv4映射的IPv6地址绕过黑名单,触发受限的网络基础设施请求。 - CVSS: 5.0 - 解决方案: 检查IPv4映射的IPv6地址是否在黑名单中。 - CWE-400 (Uncontrolled Resource Consumption) - SMTP和IMAP能力处理不当,可能导致服务不可用。 - CVSS: 4.3 (SMTP) 和 4.3 (IMAP) - 解决方案: 限制SMTP和IMAP服务器响应长度。 - CWE-918 (Server-Side Request Forgery (SSRF)) - 风险: 使用操纵的ODT文档访问本地和网络资源。 - CVSS: 5.0 - 解决方案: 改进内容过滤和验证。 - CWE-94 (Improper Control of Generation of Code ('Code Injection')) - 风险: 通过documentconverterws API注入恶意代码,执行远程代码。 - CVSS: 8.3 - 解决方案: 在API端点仅允许本地网络访问,并限制处理的类。