漏洞风险提示(20240912)
免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表安天实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与安天实验室一律不予承担。1 Zyxel NAS设备命令注入漏洞(CVE-2024-6342)
一、漏洞描述:
合勤科技(ZyXEL)是国际著名的网络宽带系统及解决方案供应商。Zyxel NAS326和NAS542设备的export-cgi 程序中存在命令注入漏洞,未经身份验证的威胁者可通过发送恶意设计的 HTTP POST 请求来远程执行系统命令,从而可能查看系统文件、修改系统配置、获取敏感信息并执行其他未授权操作。
二、风险等级:
高危
三、影响范围:
Zyxel NAS326 <= V5.21(AAZF.18)C0
Zyxel NAS542 <= V5.21(ABAG.15)C0
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://www.zyxel.com/global/en/support/security-advisories/zyxel-security-advisory-for-os-command-injection-vulnerability-in-nas-products-09-10-2024
2 LearningDigital Orca HCM 访问控制错误漏洞(CVE-2024-8584)
一、漏洞描述:
LearningDigital Orca HCM是中国一宇数位(LearningDigital)公司的一个数字学习平台。LearningDigital Orca HCM 11.0之前版本存在访问控制错误漏洞,该漏洞源于特定功能的访问限制不当,可能允许未经身份验证的远程攻击者利用此功能创建具有管理员权限的账户并随后使用该账户登录。
二、风险等级:
高危
三、影响范围:
LearningDigital Orca HCM <= 11.0
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://www.learningdigital.com/orcahcm
3 Red Hat Keycloak 授权问题漏洞(CVE-2024-7341)
一、漏洞描述:
Red Hat Keycloak是美国红帽(Red Hat)公司的一套为现代应用和服务提供身份验证和管理功能的软件。Red Hat Keycloak存在授权问题漏洞,该漏洞源于SAML 适配器中发现了会话固定问题。即使配置了turnOffChangeSessionIdOnLogin 选项,会话ID 和JSESSIONID cookie 在登录时也不会更改。
二、风险等级:
高危
三、影响范围:
Red Hat Keycloak
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://www.keycloak.org/
4 Apache Airflow 远程代码执行漏洞(CVE-2024-45034)
一、漏洞描述:
Apache Airflow是美国阿帕奇(Apache)基金会的一套用于创建、管理和监控工作流程的开源平台。该平台具有可扩展和动态监控等特点。Apache Airflow 2.10.1之前版本存在安全漏洞,该漏洞源于DAG作者能够向DAG文件夹中添加本地设置并使其被调度程序执行,而调度程序本不应执行由DAG作者提交的代码。
二、风险等级:
高危
三、影响范围:
Apache Airflow <= 2.10.1
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://lists.apache.org/thread/b4fcw33vh60yfg9990n5vmc7sy2dcgjx
页:
[1]