漏洞风险提示(20240717)
免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表安天实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与安天实验室一律不予承担。1 多款Zoom产品权限升级漏洞(CVE-2024-27240)
一、漏洞描述:
Zoom Rooms和Zoom Workplace都是美国Zoom公司的产品。Zoom Rooms是一个基于软件的会议系统。允许在固定终端上进行网络会议的系统,类似于传统的视频会议系统。Zoom Workplace是一个桌面应用软件。多款Zoom产品存在安全漏洞,该漏洞源于安装程序中存在不正确的输入验证,允许攻击者通过本地访问进行权限升级。受影响产品及版本如下:Zoom Workplace Desktop App 6.0.0之前版本、Zoom Workplace VDI Plug-in 5.17.13之前版本、Zoom Rooms App 6.0.0之前版本。
二、风险等级:
高危
三、影响范围:
Zoom Workplace Desktop App < 6.0.0
Zoom Workplace VDI Plug-in < 5.17.13
Zoom Rooms App < 6.0.0
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://zoom.us/download
2 Plate 跨站脚本漏洞(CVE-2024-40631)
一、漏洞描述:
Plate是Ziad Beyens个人开发者的一个插件系统,可以更容易地构建功能齐全的编辑器。Plate存在安全漏洞,该漏洞源于当编辑器使用 MediaEmbedElement 组件,并通过 useMediaState 钩子传递自定义的 urlParsers 时,如果自定义解析器允许嵌入 javascript:、data: 或 vbscript: 协议的 URL,就可以受到跨站脚本攻击。
二、风险等级:
高危
三、影响范围:
Plate
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://github.com/udecode/plate/releases/tag/%40udecode%2Fplate%4036.0.11
3 setuptools 代码注入漏洞(CVE-2024-6345)
一、漏洞描述:
setuptools是PyPI开源的一个 Python 库。setuptools 69.1.1及之前版本存在代码注入漏洞,该漏洞源于允许通过下载功能执行远程代码,容易受到代码注入攻击。
二、风险等级:
高危
三、影响范围:
setuptools < 69.1.1
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://github.com/pypa/setuptools/releases/tag/v70.3.0
4 xrdp 配置参数漏洞(CVE-2024-39917)
一、漏洞描述:
xrdp是neutrinolabs开源的一款开源远程桌面协议服务器。xrdp 0.10.0之前版本存在安全漏洞,该漏洞源于最大登录尝试次数的配置参数限制无效,允许攻击者进行无限次登录尝试。
二、风险等级:
高危
三、影响范围:
xrdp < 0.10.0
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://github.com/neutrinolabs/xrdp/releases/tag/v0.10.0
页:
[1]