漏洞风险提示(20240909)
免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表安天实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与安天实验室一律不予承担。1 IBM webMethods Integration 代码问题漏洞(CVE-2024-45076)
一、漏洞描述:
IBM webMethods Integration是美国国际商业机器(IBM)公司的一个混合的企业 iPaaS。IBM webMethods Integration 10.15版本存在代码问题漏洞,该漏洞源于可能允许经过身份验证的用户上传和执行可以在底层操作系统上执行的任意文件。
二、风险等级:
高危
三、影响范围:
IBM webMethods Integration 10.15
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://www.ibm.com/support/pages/node/7167245
2 Zyxel多款产品 操作系统命令注入漏洞(CVE-2024-7261)
一、漏洞描述:
Zyxel NWA1123ACv3等都是中国合勤(Zyxel)公司的产品。Zyxel NWA1123ACv3是一个混合接入点。Zyxel WAC500是一个双射频统一接入点。Zyxel WBE530是一个三射频统一接入点。Zyxel多款产品存在操作系统命令注入漏洞,该漏洞源于参数“host”中的特殊元素被不当中和。攻击者利用该漏洞通过发送特制的cookie来执行操作系统命令。
二、风险等级:
高危
三、影响范围:
Zyxel NWA1123ACv3 <= 6.70(ABVT.4)
Zyxel WAC500 <= 6.70(ABVS.4)
Zyxel WAX655E <= 7.00(ACDO.1)
Zyxel WBE530 <= 7.00(ACLE.1)
Zyxel WBE530 <= USG LITE 60AX V2.00(ACIP.2)
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://www.zyxel.com/global/en/support/security-advisories/zyxel-security-advisory-for-os-command-injection-vulnerability-in-aps-and-security-router-devices-09-03-2024
3 One Identity Safeguard for Privileged Passwords 未经授权访问漏洞(CVE-2024-45488)
一、漏洞描述:
One Identity Safeguard for Privileged Passwords是美国One Identity公司的一个平台。在集中的强化保险库中存储和管理敏感凭证,例如密码、密钥和其他密钥。One Identity Safeguard for Privileged Passwords存在安全漏洞,该漏洞源于允许未经授权的访问。
二、风险等级:
高危
三、影响范围:
One Identity Safeguard for Privileged Passwords
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://support.oneidentity.com/kb/4376740/safeguard-for-privileged-passwords-security-vulnerability-notification-defect-460620
4 Symphony XTS Web Trader API访问控制不当漏洞(CVE-2024-45587)
一、漏洞描述:
Symphony XTS Web Trader是Symphony公司的一个基于 HTML5 的高级交易平台。Symphony XTS Web Trader 2.0.0.1_P160版本存在安全漏洞,该漏洞源于对API的访问控制不当。远程攻击者利用该漏洞可以通过HTTP请求操纵参数导致其他用户帐户被盗用。
二、风险等级:
高危
三、影响范围:
Symphony XTS Web Trader 2.0.0.1_P160
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://symphonyfintech.com/xts/
页:
[1]