漏洞风险提示(20240530)
免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表安天实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与安天实验室一律不予承担。1 Spring Cloud Data Flow任意文件写入漏洞(CVE-2024-22263)
一、漏洞描述:
Spring Cloud Data Flow(SCDF)是一个基于微服务的工具包,用于在 Cloud Foundry 和 Kubernetes 中构建流式和批量数据处理管道。Spring Cloud Skipper 是一个用于管理 Spring Boot 应用程序版本和生命周期的工具,它是Spring Cloud Data Flow的一个核心组件,负责处理应用程序的部署、升级和回滚等操作。该漏洞存在于Spring Cloud Data Flow 的Spring Cloud Skipper组件中,由于Skipper Server在接收上传包请求时对上传路径清理不当,有权访问 Skipper Server API 的威胁者可以通过恶意设计的上传请求将任意文件写入文件系统上的任意位置,成功利用该漏洞可能导致服务器被破坏或控制。
二、风险等级:
高危
三、影响范围:
Spring Cloud Skipper 2.11.0 - 2.11.2
Spring Cloud Skipper 2.10.x
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://github.com/spring-cloud/spring-cloud-dataflow/releases/tag/v2.11.3
2 Fortinet FortiSIEM命令注入漏洞(CVE-2024-23108)
一、漏洞描述:
FortiSIEM是Fortinet 公司的安全信息和事件管理 (SIEM) 解决方案,它通过提供增强的可见性和控制,帮助组织更有效地管理和保护其网络资产。Fortinet FortiSIEM多个受影响版本中由于对CVE-2023-34992命令注入漏洞修复不完善,导致存在多个命令注入漏洞(CVE-2024-23108 和 CVE-2024-23109),未经身份验证的威胁者可利用这些漏洞通过恶意设计的 API 请求在易受攻击的FortiSIEM 设备上以 root 身份远程执行命令。
二、风险等级:
高危
三、影响范围:
FortiSIEM 7.1.0 -7.1.1
FortiSIEM 7.0.0 - 7.0.2
FortiSIEM 6.7.0 - 6.7.8
FortiSIEM 6.6.0 - 6.6.3
FortiSIEM 6.5.0 - 6.5.2
FortiSIEM 6.4.0 - 6.4.2
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://docs.fortinet.com/product/fortisiem/7.1
3 GitLab CE/EE 安全漏洞(CVE-2024-4835)
一、漏洞描述:
GitLab Enterprise Edition(EE)和GitLab Community Edition(CE)都是美国GitLab公司的产品。GitLab Enterprise Edition是一套内容管理系统。GitLab Community Edition是一种社区版 GitLab 。GitLab CE/EE 16.10.6 之前、16.11.3 之前、17.0.1 之前版本存在安全漏洞,该漏洞源于允许攻击者通过制作恶意页面来窃取敏感的用户信息。
二、风险等级:
高危
三、影响范围:
GitLab CE/EE < 17.0.1
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://gitlab.com/gitlab-org/gitlab/
4 Veeam Backup Enterprise Manager 安全漏洞(CVE-2024-29850)
一、漏洞描述:
Veeam Backup Enterprise Manager是美国Veeam公司的一个集中管理和监控工具。Veeam Backup Enterprise Manager存在安全漏洞,该漏洞源于允许通过NTLM中继接管帐户。
二、风险等级:
高危
三、影响范围:
Veeam Backup Enterprise Manager
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://www.veeam.com/kb4581
页:
[1]