freestyle 发表于 2024-9-14 13:44

漏洞风险提示(20240914)

免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表安天实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与安天实验室一律不予承担。
1 Ivanti Endpoint Manager反序列化远程代码执行漏洞(CVE-2024-29847)
一、漏洞描述:   
       
        Ivanti Endpoint Manager(EPM)是一款由Ivanti公司开发的综合性端点管理解决方案,该产品旨在帮助企业有效管理和保护其网络中的端点设备,如桌面、笔记本电脑、服务器、移动设备和虚拟环境等。Ivanti Endpoint Manager 2024和2022 的代理(agent)门户中存在反序列化漏洞,未经身份验证的威胁者可利用该漏洞在目标服务器上实现远程代码执行,从而可能控制受影响的系统、获取敏感信息或执行其他恶意操作。
二、风险等级:
        高危
三、影响范围:
        Ivanti Endpoint Manager 2024 < 2024 SU1
        Ivanti Endpoint Manager 2022<= 2022 SU5
四、修复建议:
        目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
        https://forums.ivanti.com/s/article/Security-Advisory-EPM-September-2024-for-EPM-2024-and-EPM-2022?language=en_US
2 GitLab访问控制不当漏洞(CVE-2024-6678)
一、漏洞描述:   
       
        GitLab是一个用于仓库管理系统的开源项目,其使用Git作为代码管理工具,可通过Web界面访问公开或私人项目。GitLab社区版(CE)和企业版(EE)中修复了一个访问控制不当漏洞(CVE-2024-6678),该漏洞允许威胁者在某些情况下以任意用户身份触发GitLab的CI/CD管道,从而可能导致权限提升或执行恶意操作。
二、风险等级:
        高危
三、影响范围:
        8.14 <= GitLab CE/EE < 17.1.7
        17.2 <= GitLab CE/EE < 17.2.5
        17.3 <= GitLab CE/EE < 17.3.2
四、修复建议:
        目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
        https://about.gitlab.com/
3 Adobe ColdFusion远程代码执行漏洞(CVE-2024-41874)
一、漏洞描述:   
       
        Adobe ColdFusion 是一种商业化的开发平台,主要用于创建和维护动态网页和Web应用程序。ColdFusion 2023 Update 9及之前版本、ColdFusion 2021 Update 15及之前版本中存在反序列化漏洞,可能导致未经身份验证的远程威胁者通过反序列化攻击实现任意代码执行。
二、风险等级:
        高危
三、影响范围:
        Adobe ColdFusion 2023 <= Update 9(所有平台)
        Adobe ColdFusion 2021<= Update 15(所有平台)
四、修复建议:
        目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
        https://www.adobe.com/products/coldfusion-family.html
4 Hitachi Vantara Pentaho Data Integration & Analytics 信息泄露漏洞(CVE-2024-28981)
一、漏洞描述:   
       
        Hitachi Vantara Pentaho Data Integration & Analytics是日本日立制作所(Hitachi)公司的一个数据集成与分析系统。Hitachi Vantara Pentaho Data Integration & Analytics 10.1.0.0之前版本存在安全漏洞,该漏洞源于在搜索元数据注入字段时公开数据库密码。
二、风险等级:
        高危
三、影响范围:
        Hitachi Vantara Pentaho Data Integration & Analytics < 10.1.0.0
四、修复建议:
        目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
        https://support.pentaho.com/hc/en-us/articles/27569056997261--Resolved-Hitachi-Vantara-Pentaho-Data-Integration-Analytics-Insufficiently-Protected-Credentials-Versions-before-10-1-0-0-including-9-3-x-and-8-3-x-impacted-CVE-2024-28981
页: [1]
查看完整版本: 漏洞风险提示(20240914)