漏洞风险提示(20240105)
免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表安天实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与安天实验室一律不予承担。1 Google Chrome 释放后重用漏洞(CVE-2024-0222)
一、漏洞描述:
Google Chrome浏览器是一个由 Google(谷歌) 公司开发的网页浏览器。
成功的利用此漏洞可导致浏览器崩溃或执行任意代码。
二、风险等级:
高危
三、影响范围:
Google Chrome(Windows)<120.0.6099.199
Google Chrome(Windows)<120.0.6099.200
Google Chrome(Mac/Linux)<120.0.6099.199
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://chromereleases.googleblog.com/
2 PaddlePaddle get_online_pass_interval 命令注入漏洞(CVE-2023-52310)
一、漏洞描述:
飞桨(PaddlePaddle)以百度多年的深度学习技术研究和业务应用为基础,是中国首个自主研发、功能完备、 开源开放的产业级深度学习平台,集深度学习核心训练和推理框架、基础模型库、端到端开发套件和丰富的工具组件于一体。
PaddlePaddle 在 2.6.0 之前版本中存在命令注入漏洞。这导致能够在操作系统上执行任意命令。
二、风险等级:
高危
三、影响范围:
PaddlePaddle < 2.6.0
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://github.com/PaddlePaddle/Paddle
3 Apache InLong updateAuditSource 代码注入漏洞(CVE-2023-51784)
一、漏洞描述:
Apache InLong(应龙)是一站式、全场景的海量数据集成框架,同时支持数据接入、数据同步和数据订阅,提供自动、安全、可靠和高性能的数据传输能力,方便业务构建基于流式的数据分析、建模和应用。
Apache InLong 在 1.5.0-1.9.0 版本中存在代码注入漏洞。由于 updateAuditSource 方法未对用户输入的参数进行有效过滤,攻击者可以利用该方法进行远程代码执行。
二、风险等级:
高危
三、影响范围:
1.5.0 <= Apache InLong <= 1.9.0
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://github.com/apache/inlong/releases
4 Amazon Ion 安全漏洞(CVE-2024-21634)
一、漏洞描述:
Amazon Ion是美国亚马逊(Amazon)公司的一种类型丰富、自描述的分层数据序列化格式。提供可互换的二进制和文本表示形式。
Amazon Ion 1.10.5之前版本存在安全漏洞,该漏洞源于Ion Java存在堆栈溢出,可能导致拒绝服务。
二、风险等级:
高危
三、影响范围:
Amazon Ion < 1.10.5
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://github.com/amazon-ion/ion-java/security/advisories/GHSA-264p-99wq-f4j6
页:
[1]