漏洞风险提示(20240424)
免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表安天实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与安天实验室一律不予承担。1 Flowise 身份认证绕过漏洞(CVE-2024-31621)
一、漏洞描述:
FlowiseAI是一个强大的开源项目,致力于简化和自动化业务流程,提高工作效率。该项目结合了人工智能与工作流引擎,为用户提供了一种直观、可扩展的方式来设计、执行和监控复杂的工作流程。
FlowiseAI存在身份认证绕过漏洞,未授权的攻击者可以通过将路径修改为大写从而绕过检测,从而获取大量敏感信息。
二、风险等级:
高危
三、影响范围:
flowise version <= 1.6.5
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://flowiseai.com
2 Ivanti Avalanche 远程命令执行漏洞(CVE-2024-24996)
一、漏洞描述:
Ivanti Avalanche是美国Ivanti公司的一套企业移动设备管理系统。该系统主要用于管理智能手机、平板电脑和条形码扫描仪等设备。
Ivanti Avalanche 6.4.3 版本之前存在安全漏洞,该漏洞源于 WLInfoRailService 组件存在堆溢出漏洞。未经身份验证的远程攻击者利用该漏洞可以执行任意命令。
二、风险等级:
高危
三、影响范围:
Ivanti Avalanche <= 6.4.3
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://forums.ivanti.com/s/article/Avalanche-6-4-3-Security-Hardening-and-CVEs-addressed?language=en_US
3 nora-common远程代码执行漏洞(CVE-2024-30564)
一、漏洞描述:
nora-common是Andrei Tatar个人开发者的一个 NORA Node Red 客户端和 NORA Firebase 后端之间的通用回购。
nora-common v.1.0.41 到 v.1.12.2版本存在安全漏洞,该漏洞源于允许远程攻击者通过 updateStateInternal中的 updateState 参数使用精心设计的脚本执行任意代码。
二、风险等级:
高危
三、影响范围:
nora-common v.1.0.41 - v.1.12.2
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://github.com/andrei-tatar/nora-firebase-common/commit/bf30b75d51be04f6c1f884561a223226c890f01b
4 HashiCorp go-getter参数注入漏洞(CVE-2024-3817)
一、漏洞描述:
HashiCorp go-getter是美国HashiCorp公司的Go (golang) 的一个库,用于使用 URL 作为主要输入形式从各种来源下载文件或目录。
HashiCorp go-getter 1.5.9版本至1.7.3版本存在安全漏洞,该漏洞源于容易受到参数注入的影响。
二、风险等级:
高危
三、影响范围:
HashiCorp go-getter 1.5.9 - 1.7.3
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://discuss.hashicorp.com/t/hcsec-2024-09-hashicorp-go-getter-vulnerable-to-argument-injection-when-fetching-remote-default-git-branches/66040
页:
[1]