漏洞风险提示(20240628)
免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表安天实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与安天实验室一律不予承担。1 GitLab 数据泄露漏洞(CVE-2024-6323)
一、漏洞描述:
GitLab是美国GitLab公司的一个开源的端到端软件开发平台,具有内置的版本控制、问题跟踪、代码审查、CI/CD(持续集成和持续交付)等功能。GitLab EE 存在安全漏洞。攻击者利用该漏洞可以泄露公共项目中的私有存储库的内容。
二、风险等级:
高危
三、影响范围:
GitLab EE
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://gitlab.com/
2 Magarsus Consultancy SSO SQL注入漏洞(CVE-2024-4228)
一、漏洞描述:
Magarsus Consultancy SSO是Magarsus Consultancy公司的一款单点登录应用程序。Magarsus Consultancy SSO (Single Sign On) 1.0 到 1.1版本存在SQL注入漏洞,该漏洞源于SQL 命令中使用的特殊元素的不当中和,凭据保护不足,向未经授权的行为者泄露敏感信息。
二、风险等级:
高危
三、影响范围:
Magarsus Consultancy SSO (Single Sign On) 1.0 - 1.1
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://www.magarsus.com.tr/single-sign-on
3 Next4Biz 代码注入漏洞(CVE-2024-5683)
一、漏洞描述:
Next4Biz是Next4Biz公司的一个营销和销售管理软件。Next4Biz 6.6.4.4版本至6.6.4.5之前版本存在代码注入漏洞,该漏洞源于代码生成控制不当。
二、风险等级:
高危
三、影响范围:
6.6.4.4 <= Next4Biz < 6.6.4.5
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://www.next4biz.com/tr/is-surecleri-yonetimi/
4 Deep Java Library 安全漏洞(CVE-2024-37902)
一、漏洞描述:
Deep Java Library是Deep Java Library开源的一个开源、高级、与引擎无关的深度学习 Java 框架。Deep Java Library 0.1.0版本至0.27.0之前版本存在安全漏洞,该漏洞源于不会阻止绝对路径存档工件将存档文件直接插入系统,从而覆盖系统文件。
二、风险等级:
高危
三、影响范围:
0.1.0 <= Deep Java Library< 0.27.0
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://github.com/deepjavalibrary/djl/releases/tag/v0.27.0
页:
[1]