漏洞风险提示(20240325)
免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表安天实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与安天实验室一律不予承担。1 UDP应用程序协议 拒绝服务漏洞 (CVE-2024-2169)
一、漏洞描述:
用户数据报协议 ( UDP ) 是一种简单的无连接协议,至今仍广泛用于许多基于 Internet 的应用程序中。基于 UDP 的应用程序协议的某些实现,已发现一种新颖的流量循环漏洞。
未经身份验证的攻击者可以针对基于 UDP 的易受攻击的应用程序协议(例如 DNS、NTP、TFTP)使用恶意制作的数据包,这可能导致拒绝服务 (DOS) 和/或资源滥用。
二、风险等级:
高危
三、影响范围:
基于 UDP 的应用协议
四、修复建议:
临时修复建议:
使用网络防火墙规则和/或其他访问控制列表来保护基于 UDP 的应用程序,以防止未经授权的访问。
2 GeoServer文件上传代码执行漏洞(CVE-2023-51444)
一、漏洞描述:
GeoServer是一个用 Java 编写的开源软件服务器,允许用户共享和编辑地理空间数据。
GeoServer 2.23.4和2.24.1之前版本中存在任意文件上传漏洞,可能导致经过身份验证的威胁者通过 REST Coverage Store API 修改覆盖率存储,将任意文件内容上传到任意文件位置,从而导致远程代码执行。
二、风险等级:
高危
三、影响范围:
GeoServer < 2.23.4
2.24.0 <= GeoServer < 2.24.1
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://github.com/geoserver/geoserver/releases
3 Online Marriage Registration System SQL注入漏洞(CVE-2024-2777)
一、漏洞描述:
Online Marriage Registration System是一个支持在线婚姻登记的建站系统。
Campcodes Online Marriage Registration System 1.0 版本存在SQL注入漏洞,该漏洞源于 /admin/application-bwdates-reports-details.php 文件的 fromdate 参数存在 SQL 注入漏洞。
二、风险等级:
高危
三、影响范围:
Campcodes Online Marriage Registration System 1.0
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://www.campcodes.com/projects/php/online-marriage-registration-system/
4 Delta Electronics DIAEnergie 授权问题漏洞(CVE-2024-28029)
一、漏洞描述:
Delta Electronics DIAEnergie是中国台湾台达电子(Delta Electronics)公司的一个工业能源管理系统,用于实时监控和分析能源消耗、计算能源消耗和负载特性、优化设备性能、改进生产流程并最大限度地提高能源效率。
Delta Electronics DIAEnergie v1.10.00.005 之前版本存在授权问题漏洞,该漏洞源于未在服务器端进行完全的权限验证,攻击者利用该漏洞可能绕过授权并访问特权功能。
二、风险等级:
高危
三、影响范围:
Delta Electronics DIAEnergie < v1.10.00.005
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://www.deltaww.com/
页:
[1]