freestyle 发表于 2024-6-21 09:08

漏洞风险提示(20240621)

免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表安天实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与安天实验室一律不予承担。
1 Zyxel NAS326和Zyxel NAS542 操作系统命令注入漏洞(CVE-2024-29973)
一、漏洞描述:   
       
        Zyxel NAS542和Zyxel NAS326都是中国合勤(Zyxel)公司的产品。Zyxel NAS542是一款NAS(网络附加存储)设备。Zyxel NAS326是一款云存储 NAS。Zyxel NAS326 V5.21(AAZF.17)C0之前版本、NAS542 V5.21(ABAG.14)C0之前版本存在操作系统命令注入漏洞,该漏洞源于setCookie参数中存在命令注入漏洞,从而导致攻击者可通过HTTP POST请求来执行某些操作系统 (OS) 命令。
二、风险等级:
        高危
三、影响范围:
        Zyxel NAS326
        Zyxel NAS542
四、修复建议:
        目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
        https://www.zyxel.com/global/en/support/security-advisories/zyxel-security-advisory-for-multiple-vulnerabilities-in-nas-products-06-04-2024
2 Alpha Innotec Heatpumps和Novelan Heatpumps加密长度不足漏洞(CVE-2024-22894)
一、漏洞描述:   
       
        Alpha Innotec Heatpumps是Alpha Innotec公司的一款热泵。Alpha Innotec Heatpumps 2.88.3之前版本版本、3.0.0至3.89.0之前版本、4.0.0至4.81.3之前版本、Novelan Heatpumps 2.88.3之前版本版本、3.0.0至3.89.0之前版本、4.0.0至4.81.3之前版本存在加密长度不足漏洞,远程攻击者可利用该漏洞通过阴影文件中的密码组件执行任意代码。
二、风险等级:
        高危
三、影响范围:
        Alpha Innotec Heatpumps >= 4.0.0 < 4.81.3
        Alpha Innotec Heatpumps >= 3.0.0 < 3.89.0
        Alpha Innotec Heatpumps < 2.88.3
        Alpha Innotec Novelan Heatpumps >= 4.0.0 < 4.81.3
        Alpha Innotec Novelan Heatpumps >= 3.0.0 < 3.89.0
        Alpha Innotec Novelan Heatpumps < 2.88.3
四、修复建议:
        目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
        https://github.com/Jaarden/AlphaInnotec-Password-Vulnerability/
3 Mbed TLS信息泄露漏洞(CVE-2024-23170)
一、漏洞描述:   
       
        Mbed TLS是一个开源、可移植、易于使用、可读且灵活的SSL库。Mbed TLS 2.0.0至2.28.7之前版本、3.0.0至3.5.2之前版本存在信息泄露漏洞,本地攻击者可利用该漏洞通过发送大量消息进而解密,进而恢复明文内容。
二、风险等级:
        高危
三、影响范围:
        Mbed TLS Mbed TLS >= 3.0.0 < 3.5.2
        Mbed TLS Mbed TLS >= 2.0.0 < 2.28.7
四、修复建议:
        目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
        https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/GP5UU7Z6LJNBLBT4SC5WWS2HDNMTFZH5/
4 vantage6代码注入漏洞(CVE-2024-21649)
一、漏洞描述:   
       
        vantage6是vantage6开源的一个用于Secure Insight eXchange的开源priVAcy preserviNg federalTed leArningG基础架构。vantage6 4.2.0之前版本存在代码注入漏洞,经过身份认证的攻击者可利用该漏洞在算法环境变量中注入代码,进而远程执行代码。
二、风险等级:
        高危
三、影响范围:
        vantage6 < 4.2.0
四、修复建议:
        目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
        https://github.com/vantage6/vantage6/commit/eac19db737145d3ca987adf037a454fae0790ddd
页: [1]
查看完整版本: 漏洞风险提示(20240621)