漏洞风险提示(20240510)
免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表安天实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与安天实验室一律不予承担。1 Google Golang 任意代码执行漏洞(CVE-2024-24787)
一、漏洞描述:
Google Golang是美国谷歌(Google)公司的一种静态强类型、编译型语言。Go的语法接近C语言,但对于变量的声明有所不同。Go支持垃圾回收功能。
Go的并行模型是以东尼·霍尔的通信顺序进程(CSP)为基础,采取类似模型的其他语言包括Occam和Limbo,但它也具有Pi运算的特征,比如通道传输。
在1.8版本中开放插件(Plugin)的支持,这意味着现在能从Go中动态加载部分函数。Google Golang 1.21.10 之前、1.22.3 之前版本存在安全漏洞,该漏洞源于在使用 Apple 版本的 ld 时,构建包含 CGO 的 Go 模块可能会触发任意代码执行。
二、风险等级:
高危
三、影响范围:
Google Golang < 1.21.10
Google Golang < 1.22.3
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://pkg.go.dev/vuln/GO-2024-2825
2 Dell DM5500 路径遍历漏洞(CVE-2024-24908)
一、漏洞描述:
Dell DM5500是美国戴尔(Dell)公司的一款集成解决方案。提供业界领先的重复数据删除、数据保护解决方案和多云功能。
Dell DM5500 5.15.0.0及之前版本存在路径遍历漏洞,该漏洞源于允许具有高权限的远程攻击者删除服务器文件系统上存储的任意文件。
二、风险等级:
高危
三、影响范围:
Dell DM5500 <= 5.15.0.0
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://www.dell.com/support/kbdoc/en-us/000224843/dsa-2024-083-security-update-for-dell-powerprotect-data-manager-appliance-for-multiple-vulnerabilities
3 RuvarOA SQL注入漏洞(CVE-2024-25527)
一、漏洞描述:
RuvarOA是中国璐华(Ruvar)公司的一个办公自动化系统。RuvarOA v6.01 版本和 v12.01 版本存在安全漏洞,该漏洞源于 /PersonalAffair/worklog_template_show.aspx 文件的 id 参数存在 SQL 注入漏洞。
二、风险等级:
高危
三、影响范围:
RuvarOA v6.01
RuvarOA v12.01
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://www.ruvar.com/oa.aspx
4 Sonic Technology Shopfloor.guide 任意命令执行漏洞(CVE-2024-31961)
一、漏洞描述:
Sonic Technology Shopfloor.guide是Sonic Technology公司的一款应用程序。Sonic Technology Shopfloor.guide 3.1.3之前版本存在安全漏洞。远程攻击者利用该漏洞通过level2参数执行任意SQL命令。
二、风险等级:
高危
三、影响范围:
Sonic Technology Shopfloor.guide < 3.1.3
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://bugs.sonic-technology.com/cve-2024-31961.html
页:
[1]