漏洞风险提示(20240528)
免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表安天实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与安天实验室一律不予承担。1 Google Chrome V8类型混淆漏洞(CVE-2024-5274)
一、漏洞描述:
Google Chrome是由Google公司开发的一款网页浏览器。V8是由Google 开源的一个高性能JavaScript 引擎,被广泛应用于各种 JavaScript 执行环境,如Chrome 浏览器、Node.js等。Google Chrome 125.0.6422.112之前版本在V8 JavaScript引擎中存在类型混淆漏洞,威胁者可通过诱导受害者访问恶意HTML页面来利用该漏洞,成功利用可能导致浏览器崩溃、信息泄露或执行任意代码。
二、风险等级:
高危
三、影响范围:
Google Chrome(Windows/Mac)版本 < 125.0.6422.112/.113
Google Chrome(Linux)版本 < 125.0.6422.112
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://www.google.cn/chrome/
2 Eclipse Vert.x内存泄露漏洞(CVE-2024-1023)
一、漏洞描述:
Eclipse Vert.x是Eclipse基金会的一个应用于JVM上用于构建响应式应用程序的工具包。Eclipse Vert.x toolkit存在内存泄露漏洞,攻击者可利用该漏洞通过将服务器作为攻击向量连接地址,进而导致内存泄露。
二、风险等级:
高危
三、影响范围:
Eclipse Vert.x
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://access.redhat.com/errata/RHSA-2024:1662
3 PingCAP TiDB 缓冲区溢出漏洞(CVE-2024-33809)
一、漏洞描述:
PingCAP TiDB是中国PingCAP公司的一个开源、云原生、分布式、兼容 MySQL 的数据库,用于弹性扩展和实时分析。PingCAP TiDB v7.5.1版本存在安全漏洞,该漏洞源于包含缓冲区溢出漏洞,可能导致数据库崩溃和拒绝服务攻击。
二、风险等级:
高危
三、影响范围:
PingCAP TiDB v7.5.1
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://github.com/pingcap/tidb/releases/tag/v8.1.0
4 Ampache跨站脚本漏洞(CVE-2024-28853)
一、漏洞描述:
Ampache是一款基于Web的音频/视频应用程序和文件管理器。Ampache 6.3.1之前版本存在跨站脚本漏洞,远程攻击者可利用该漏洞通过/preferences.php?action=admin_update_preferences的帖子请求中的参数中特制的载荷执行任意代码。
二、风险等级:
高危
三、影响范围:
Ampache Ampache < 6.3.1
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://github.com/ampache/ampache/security/advisories/GHSA-prw2-7cr3-5mx8
页:
[1]