漏洞风险提示(20240509)
免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表安天实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与安天实验室一律不予承担。1 蓝网科技临床浏览系统 deleteStudy.php SQL注入漏洞(CVE-2024-4257)
一、漏洞描述:
蓝网科技临床浏览系统是一个专门用于医疗行业的软件系统,主要用于医生、护士和其他医疗专业人员在临床工作中进行信息浏览、查询和管理。蓝网科技临床浏览系统存在SQL注入漏洞,未授权的攻击者可以利用该漏洞获取数据库敏感信息。
二、风险等级:
高危
三、影响范围:
蓝网科技临床浏览系统 1.2.1
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://www.lanwon.com
2 SolarWinds Serv-U FTP Server 日志信息泄露漏洞(CVE-2024-28072)
一、漏洞描述:
SolarWinds Serv-U FTP Server是美国SolarWinds公司的一套FTP和MFT文件传输软件。SolarWinds Serv-U FTP Server 15.4.2及之前版本存在日志信息泄露漏洞,该漏洞源于日志文件路径标签未正确清理,高权限帐户可以使用日志输出覆盖系统上的任意文件。
二、风险等级:
高危
三、影响范围:
SolarWinds Serv-U FTP Server <= 15.4.2
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://www.solarwinds.com/trust-center/security-advisories/cve-2024-28072
3 tqdm 任意代码执行漏洞(CVE-2024-34062)
一、漏洞描述:
tqdm是tqdm开源的一个用于 Python 和 CLI 的快速、可扩展的进度条。tqdm 4.66.3之前版本存在安全漏洞,该漏洞源于任何可选的非布尔 CLI 参数都可以通过 python 的 eval传递,允许任意代码执行。
二、风险等级:
高危
三、影响范围:
tqdm < 4.66.3
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://github.com/tqdm/tqdm/security/advisories/GHSA-g7vv-2v7x-gj9p
4 uriparser缓冲区溢出漏洞(CVE-2024-34402)
一、漏洞描述:
Uriparser是一个用 C89 编写的严格符合 Rfc 3986 的 Uri 解析和处理库。uriparser 0.9.7版本存在安全漏洞,该漏洞源于存在整数溢出,从而导致缓冲区溢出。
二、风险等级:
高危
三、影响范围:
uriparser 0.9.7
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://github.com/uriparser/uriparser/releases/tag/uriparser-0.9.8
页:
[1]