众至科技：漏洞通告 | Apache Fineract 路径遍历漏洞；Zimbra Collaboration 存在远程代码执行漏洞；WordPress Plugin YITH WooCommerce Gift Cards Premium 任意文件上传漏洞

【漏洞通告】Apache Fineract 路径遍历漏洞

1. 基础信息

2. 漏洞详情

Apache Tapestry是一种基于Java的Web应用程序框架。Tapestry采用了组件的概念。程序员可以应用现有的组建或自定义应用程序相关的组建来构建应用程序。在Apache Tapestry 3全版本允许对不受信任的数据进行反序列化，从而导致远程代码执行。

3. 影响范围

Apache Tapestry 3.x

4.安全建议

由于Apache Tapestry 3 系列官方已经不再支持，建议受影响客户升级Apache Tapestry至最新版本。

5.参考链接

https://tapestry.apache.org/download.html

【漏洞通告】Zimbra Collaboration 存在远程代码执行漏洞

    1. 基础信息

2. 漏洞详情

 在Zimbra Collaboration (ZCS) 8.8.15 和 9.0 中，已认证的管理员用户可通过 ClientUploader 进行远程代码执行。已认证的管理员用户可以通过 ClientUploader 工具上传文件，并穿越到任何其他目录进行远程代码执行

3. 影响范围

ZCS = 8.8.15  

ZCS = 9.0.0

4.安全建议

官方已发布漏洞补丁及修复版本，请评估业务是否受影响后，酌情升级至安全版本：https://www.zimbra.com/business-email-collaboration/

5.参考链接

https://www.zimbra.com/business-email-collaboration/

【漏洞通告】WordPress Plugin YITH WooCommerce Gift Cards Premium 任意文件上传漏洞

    1. 基础信息

2. 漏洞详情

 YITH WooCommerce Gift Cards Premium在3.19.0及之前版本中存在任意文件上传漏洞。这可能允许恶意行为者向你的网站上传任何类型的文件。这可能包括后门，然后执行后门以进一步访问你的网站。

3. 影响范围

YITH WooCommerce Gift Cards Premium <= 3.19.0

4.安全建议

请使用此产品的用户尽快更新至安全版本

5.参考链接

https://patchstack.com/database/vulnerability/yith-woocommerce-gift-cards-premium/wordpress-yith-woocommerce-gift-cards-premium-plugin-3-19-0-unauth-arbitrary-file-upload-vulnerability?_s_id=cve

本文作者：众至科技

本文为安全脉搏专栏作者发布，转载请注明：https://www.secpulse.com/archives/193385.html