漏洞风险提示(20240711)
免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表安天实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与安天实验室一律不予承担。1 SuiteCRM SQL注入漏洞(CVE-2024-36412)
一、漏洞描述:
SuiteCRM是一款屡获殊荣的企业级开源客户关系管理(CRM)系统,它具有强大的功能和高度的可定制性,且完全免费。SuiteCRM存在SQL注入漏洞,未经身份验证的攻击者可以通过该漏洞拼接执行SQL注入语句,从而获取数据库敏感信息。
二、风险等级:
高危
三、影响范围:
SuiteCRM < 8.6.1
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://suitecrm.com
2 Deep Sea Electronics DSE855 身份认证绕过漏洞(CVE-2024-5947)
一、漏洞描述:
DSE855是一款将DSE控制器的USB端口转换为以夜网端口的设备,内置网络服务器,支持通过内部网络和互联网进行使用。Deep Sea Electronics DSE855 配置备份缺少身份验证信息泄露漏洞。此漏洞允许网络相邻的攻击者泄露有关受影响的 Deep Sea Electronics DSE855 设备安装的敏感信息。利用此漏洞不需要身份验证。基于 Web 的 UI 中存在特定缺陷。该问题是由于在允许访问功能之前缺少身份验证所致。攻击者可利用此漏洞泄露存储的凭据,从而导致进一步入侵。
二、风险等级:
高危
三、影响范围:
DSE855
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://www.deepseaelectronics.com/genset/remote-communications-overview-displays/dse855
3 Avaya IP Office 远程命令执行漏洞(CVE-2024-4197)
一、漏洞描述:
Avaya IP Office是美国亚美亚(Avaya)公司的一套小型商务电话系统。Avaya IP Office 11.1.3.1 之前版本存在安全漏洞,该漏洞源于允许通过 One-X 组件执行远程命令或代码。
二、风险等级:
高危
三、影响范围:
Avaya IP Office < 11.1.3.1
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://download.avaya.com/css/public/documents/101090768
4 AG Grid 远程代码执行漏洞(CVE-2024-38996)
一、漏洞描述:
AG Grid是AG Grid开源的一个功能齐全、高度可定制的 JavaScript 数据网格。AG Grid v31.3.2版本存在安全漏洞,该漏洞源于通过mergeDeep函数包含原型污染,允许攻击者通过注入任意属性来执行任意代码或导致拒绝服务(DoS)。
二、风险等级:
高危
三、影响范围:
AG Grid v31.3.2
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://github.com/ag-grid/ag-grid/releases/tag/v32.0.0
页:
[1]