漏洞风险提示(20240124)
免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表安天实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与安天实验室一律不予承担。1 Spring Framework 拒绝服务漏洞 (CVE-2024-22233)
一、漏洞描述:
Spring Framework是一个提供了现代基于Java的企业应用程序的全面编程和配置模型的应用程序框架,它可以在任何类型的部署平台上运行。
Spring Framework的一个关键元素是在应用程序层面提供基础设施支持:Spring专注于企业应用程序的“管道”部分,让开发团队可以专注于应用程序逻辑。 在Spring Framework版本6.0.15和6.1.2中,用户可以提供经过特殊设计的HTTP请求,可能导致拒绝服务(DoS)条件。
二、风险等级:
高危
三、影响范围:
Spring Framework6.1.2
Spring Framework6.0.15
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://spring.io/security/cve-2024-22233/
2 Nautobot 跨站脚本漏洞(CVE-2024-23345)
一、漏洞描述:
Nautobot是Nautobot个人开发者的一个网络自动化平台。
Nautobot 1.6.10之前的1.x版本和2.1.2之前的2.x版本存在跨站脚本漏洞,该漏洞源于输入清理不充分,容易受到恶意制作数据的跨站脚本(XSS)攻击。
二、风险等级:
高危
三、影响范围:
Nautobot <= 1.6.10
Nautobot <= 2.1.2
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://github.com/nautobot/nautobot/releases/tag/v2.1.2
3 node-server 路径遍历漏洞(CVE-2024-23340)
一、漏洞描述:
node-server是一个适配器,允许用户在 Node.js 上运行 Hono 应用程序。
node-server 1.3.0版本至1.4.1之前版本存在路径遍历漏洞,该漏洞源于无法解析URL中的双点。
二、风险等级:
高危
三、影响范围:
1.3.0 < node-server < 1.4.1
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://github.com/honojs/node-server/releases/tag/v1.4.1
4 SWFTools 缓冲区溢出漏洞(CVE-2024-22912)
一、漏洞描述:
SWFTools是Matthias Kramm个人开发者的一组用于处理 Adobe Flash 文件(SWF 文件)的实用程序。
SWFTools 0.9.2 版本存在安全漏洞,该漏洞源于 swf5compiler.flex:327 页面的 countline 方法存在全局缓冲区溢出漏洞。
二、风险等级:
高危
三、影响范围:
SWFTools 0.9.2
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://github.com/matthiaskramm/swftools/issues/212
页:
[1]