漏洞风险提示(20240627)
免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表安天实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与安天实验室一律不予承担。1 Puppeteer Renderer 路径遍历漏洞(CVE-2024-36527)
一、漏洞描述:
Puppeteer Renderer是一个Node.js库,它基于Google的Puppeteer项目,用于控制无头版(不显示界面)的Chrome或Chromium浏览器。Puppeteer Renderer的设计目标是让开发者能够轻松地在服务器端进行网页自动化操作,如屏幕截图、PDF生成以及爬虫等。puppeteer Renderer v.3.2.0及之前版本易受目录遍历攻击。攻击者可以使用文件协议利用URL参数从服务器读取敏感信息。
二、风险等级:
高危
三、影响范围:
puppeteer Renderer <= v.3.2.0
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://github.com/zenato/puppeteer-renderer
2 Progress MOVEit Transfer身份认证绕过漏洞(CVE-2024-5806)
一、漏洞描述:
Progress MOVEit Transfer(SFTP 模块)中的不正确身份验证漏洞可能导致身份验证绕过。攻击者能够在没有任何有效凭证的情况下,通过特定的技术手段,如操纵 SSH 密钥认证过程,来冒充服务器上的任何用户。
二、风险等级:
高危
三、影响范围:
2023.0.0 <= MOVEit Transfer < 2023.0.11
2023.1.0 <= MOVEit Transfer < 2023.1.6
2024.0.0 <= MOVEit Transfer < 2024.0.2
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://community.progress.com/s/article/MOVEit-Transfer-Product-Security-Alert-Bulletin-June-2024-CVE-2024-5806
3 XWiki Platform 编程权限漏洞(CVE-2024-38369)
一、漏洞描述:
XWiki Platform是XWiki基金会的一套用于创建Web协作应用程序的Wiki平台。XWiki Platform 15.0-rc-1之前版本存在安全漏洞,该漏洞源于编程权限可能通过包含来继承,这可能会导致安全问题。
二、风险等级:
高危
三、影响范围:
XWiki Platform < 15.0-rc-1
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://github.com/xwiki/xwiki-platform/security/advisories/GHSA-qcj3-wpgm-qpxh
4 FreeRTOS-Plus-TCP 缓冲区过度读取漏洞(CVE-2024-38373)
一、漏洞描述:
FreeRTOS-Plus-TCP是FreeRTOS开源的一种适用于 FreeRTOS 的可扩展的开源和线程安全 TCP/IP 堆栈。FreeRTOS-Plus-TCP 4.1.1之前版本存在安全漏洞,该漏洞源于DNS 响应解析器中存在缓冲区过度读取。
二、风险等级:
高危
三、影响范围:
FreeRTOS-Plus-TCP < 4.1.1
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://github.com/FreeRTOS/FreeRTOS-Plus-TCP/security/advisories/GHSA-ppcp-rg65-58mv
页:
[1]