漏洞风险提示(20240902)
免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表安天实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与安天实验室一律不予承担。1 SAMSUNG Mobile devices 访问控制不当漏洞(CVE-2024-34595)
一、漏洞描述:
SAMSUNG Mobile devices是韩国三星(SAMSUNG)公司的一系列的三星移动设备,包括手机、平板等。SAMSUNG Mobile devices SMR Jul-2024 Release 1 版本之前存在安全漏洞,该漏洞源于 SystemUI 的 clickAdapterItem 存在访问控制不当问题。本地攻击者利用该漏洞可以启动特权活动。
二、风险等级:
高危
三、影响范围:
SAMSUNG Mobile devices < SMR Jul-2024 Release 1
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://security.samsungmobile.com/securityUpdate.smsb?year=2024&month=07
2 Wireshark 安全漏洞(CVE-2024-8250)
一、漏洞描述:
Wireshark(前称Ethereal)是导线鲨鱼(Wireshark)团队的一套网络数据包分析软件。该软件的功能是截取网络数据包,并显示出详细的数据以供分析。Wireshark 4.2.0版本至4.0.6版本和4.0.0版本至4.0.16版本存在安全漏洞,该漏洞源于NTLMSSP解析器崩溃。
二、风险等级:
高危
三、影响范围:
Wireshark 4.2.0 - 4.0.6
Wireshark 4.0.0 - 4.0.16
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://www.wireshark.org/security/wnpa-sec-2024-11.html
3 Kingsoft WPS Office 路径遍历漏洞(CVE-2024-7262)
一、漏洞描述:
Kingsoft WPS Office是中国金山软件(Kingsoft)公司的一种办公软件。提供文件处理功能。Kingsoft WPS Office 12.2.0.13110版本至12.2.0.13489版本存在路径遍历漏洞,该漏洞源于promecefpluginhost.exe路径验证不当。攻击者利用该漏洞可以加载任意Windows库。
二、风险等级:
高危
三、影响范围:
Kingsoft WPS Office 12.2.0.13110 - 12.2.0.13489
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://www.wps.com/whatsnew/pc/20240422/
4 Apache HTTP Server 输出转义不当漏洞(CVE-2024-38475)
一、漏洞描述:
Apache HTTP Server是美国阿帕奇(Apache)基金会的一款开源网页服务器。该服务器具有快速、可靠且可通过简单的API进行扩充的特点。Apache HTTP Server 2.4.59及之前版本存在安全漏洞,该漏洞源于输出转义不当,允许攻击者将URL映射无法通过任何URL直接访问的文件系统位置,从而导致代码执行或源代码泄露。
二、风险等级:
高危
三、影响范围:
Apache HTTP Server < 2.4.59
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://httpd.apache.org/security/vulnerabilities_24.html
页:
[1]