漏洞风险提示(20240123)
免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表安天实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与安天实验室一律不予承担。1 Apache Tomcat 信息泄露漏洞(CVE-2024-21733)
一、漏洞描述:
Apache Tomcat是一个流行的开源Web服务器和Java代码的Servlet容器。
在受影响的版本中,Coyote.Http11InputBuffer.fill在抛出CloseNowException异常后没有重置缓冲区的position和limit,导致服务端可能可以获取另一个用户的请求数据。攻击者可以通过构造特定请求,在异常页面中输出其他请求的 body 数据。
二、风险等级:
高危
三、影响范围:
9.0.0-M11<=Apache Tomcat<=9.0.43
8.5.7<=Apache Tomcat<=8.5.63
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://tomcat.apache.org/
2 D-Link DIR-859 路径遍历漏洞(CVE-2024-0769)
一、漏洞描述:
D-Link DIR-859是中国友讯(D-Link)公司的一款无线路由器。
D-Link DIR-859 1.06B01版本存在路径遍历漏洞,该漏洞源于文件/hedwig.cgi的参数service会导致路径遍历。
二、风险等级:
高危
三、影响范围:
D-Link DIR-859 1.06B01
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://supportannouncement.us.dlink.com/announcement/publication.aspx?name=SAP10371
3 TOTOLINK X2000R 命令注入漏洞(CVE-2024-0579)
一、漏洞描述:
TOTOLINK X2000R是中国吉翁电子(TOTOLINK)公司的一款无线路由器。
TOTOLINK X2000R 1.0.0-B20221212.1452 版本存在命令注入漏洞,该漏洞源于 /boafrm/formMapDelDevice 文件的 formMapDelDevice 函数的 macstr 参数存在命令注入漏洞。
二、风险等级:
高危
三、影响范围:
TOTOLINK X2000R 1.0.0-B20221212.1452
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://www.totolink.net/home/menu/newstpl/menu_newstpl/products/id/233.html
4 jupyterlab-lsp 安全漏洞(CVE-2024-22415)
一、漏洞描述:
jupyterlab-lsp是使用语言服务器协议为 JupyterLab 提供编码帮助的工具。
jupyterlab-lsp 2.2.1及之前版本存在安全漏洞,该漏洞源于缺少jupyter-lsp服务器扩展终结点的身份验证,导致攻击者可以访问和修改jupyter根目录之外的文件系统。
二、风险等级:
高危
三、影响范围:
jupyterlab-lsp <= 2.2.1
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://github.com/jupyter-lsp/jupyterlab-lsp/commit/4ad12f204ad0b85580fc32137c647baaff044e95
页:
[1]