漏洞风险提示(20240428)
免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表安天实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与安天实验室一律不予承担。1 ReCrystallize Server 身份认证绕过漏洞(CVE-2024-26331)
一、漏洞描述:
ReCrystallize Server是一款功能强大的服务器软件,它提供了丰富的功能和特性,以满足用户在数据管理和处理方面的需求。
ReCrystallize Server存在身份认证绕过漏洞,未授权的攻击者可以通过该漏洞绕过身份验证获取管理员权限。
二、风险等级:
高危
三、影响范围:
ReCrystallize Server
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://www.recrystallize.com/
2 RaidenMAILD 邮件服务器 路径遍历漏洞(CVE-2024-32399)
一、漏洞描述:
RaidenMAILD是一款功能丰富且易于使用的电子邮件服务器软件,适合各种规模的机构和个人使用。
RaidenMAILD 邮件服务器存在路径遍历漏洞,未授权的攻击者可以通过该漏洞读取服务器任意文件,从而获取服务器敏感信息。
二、风险等级:
高危
三、影响范围:
RaidenMAILD Mail Server v.4.9.4
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://www.raidenmaild.com
3 WordPress plugin Advanced Search插件SQL注入漏洞(CVE-2024-3265)
一、漏洞描述:
WordPress和WordPress plugin都是WordPress基金会的产品。WordPress是一套使用PHP语言开发的博客平台。该平台支持在PHP和MySQL的服务器上架设个人博客网站。WordPress plugin是一个应用插件。
WordPress plugin Advanced Search 1.1.6版本及之前版本存在安全漏洞,该漏洞源于无法正确转义附加到 SQL 查询的参数,使得具有管理员角色的用户可以进行 SQL 注入攻击。
二、风险等级:
高危
三、影响范围:
WordPress plugin Advanced Search <= 1.1.6
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://wpscan.com/vulnerability/ecb74622-eeed-48b6-a944-4e3494d6594d/
4 ChangeDetection.io远程命令执行漏洞(CVE-2024-32651)
一、漏洞描述:
Changedetection.io是dgtlmoon个人开发者的一个网站变更检测、监控和通知应用程序。
ChangeDetection.io 21.045之前版本存在安全漏洞,该漏洞源于使用 Jinja2 的不安全功能而导致服务器端模板注入,允许在服务器主机上执行远程命令。
二、风险等级:
高危
三、影响范围:
ChangeDetection.io < 21.045
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://github.com/dgtlmoon/changedetection.io/security/advisories/GHSA-4r7v-whpg-8rx3
页:
[1]