漏洞风险提示(20240812)
免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表安天实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与安天实验室一律不予承担。1 Windows 远程桌面授权服务远程代码执行漏洞(CVE-2024-38077)
一、漏洞描述:
Microsoft Remote Desktop Client是美国微软(Microsoft)公司的一款远程桌面客户端。该漏洞存在于Windows远程桌面许可管理服务(RDL)中,攻击者无需任何权限即可实现远程代码执行,获取服务器最高权限。由于在解码用户输入的许可密钥包时,未正确检验解码后数据长度与缓冲区大小之间的关系,导致缓冲区溢出。
二、风险等级:
高危
三、影响范围:
Windows Server2008 -2022
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-38077
2 Cluster Control 目录遍历漏洞(CVE-2024-41628)
一、漏洞描述:
ClusterControl是一款用于数据库集群的无代理管理和自动化软件,它提供了从用户界面直接部署、监控、管理和扩展数据库服务器/集群的能力。低于 1.9.8-9778 的 Severalnines Cluster Control 1.9.8、低于 2.0.0-9779 的 2.0.0 以及低于 2.1.0-9780 的 2.1.0 中的目录遍历漏洞允许远程攻击者通过 CMON API 在 HTTP 请求中包含和显示文件内容。
二、风险等级:
高危
三、影响范围:
低于 1.9.8-9778 的 Severalnines Cluster Control 1.9.8、
低于 2.0.0-9779 的 Severalnines Cluster Control 2.0.0
低于 2.1.0-9780 的 Severalnines Cluster Control 2.1.0
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://severalnines.com/clustercontrol
3 Calibre 任意文件读取漏洞(CVE-2024-6781)
一、漏洞描述:
Calibre是一款功能强大的电子书管理工具,它支持多种操作系统,包括Linux、OS X和Windows,并以其跨平台的设计和丰富的功能而广受用户欢迎。Calibre <= 7.14.0 中的路径遍历允许未经身份验证的攻击者实现任意文件读取。
二、风险等级:
高危
三、影响范围:
Calibre <= 7.14.0
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://github.com/janeczku/calibre-web
4 Red Hat OpenShift AI 身份验证绕过漏洞(CVE-2024-7557)
一、漏洞描述:
Red Hat OpenShift是美国红帽(Red Hat)公司的一款平台即服务(PaaS)云计算平台,它支持构建、测试、部署和运行应用程序。Red Hat OpenShift AI存在安全漏洞,该漏洞源于存在跨模型身份验证绕过漏洞。
二、风险等级:
高危
三、影响范围:
Red Hat OpenShift AI
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://github.com/opendatahub-io/odh-model-controller/releases/tag/v0.12.0.4
页:
[1]