漏洞风险提示(20240925)
免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表安天实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与安天实验室一律不予承担。1 Navidrome SQL注入漏洞(CVE-2024-47062)
一、漏洞描述:
Navidrome是Navidrome开源的一个基于 Web 的开源音乐收集服务器和流媒体。用于自由地从任何浏览器或移动设备收听音乐收藏。Navidrome v0.52.5及之前版本存在SQL注入漏洞,该漏洞源于参数名称未正确转义,导致SQL注入。
二、风险等级:
高危
三、影响范围:
Navidrome <= v0.52.5
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://github.com/navidrome/navidrome/security/advisories/GHSA-58vj-cv5w-v4v6
2 Arc 远程代码执行漏洞(CVE-2024-45489)
一、漏洞描述:
Arc是Arc公司的一款浏览器。Arc 2024-08-26之前版本存在安全漏洞,该漏洞源于存在远程代码执行漏洞,允许攻击者通过配置不当的Firebase ACLs在受害者的浏览器中执行任意JavaScript代码。
二、风险等级:
高危
三、影响范围:
Arc < 2024-08-26
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://arc.net/blog/CVE-2024-45489-incident-response
3 User-Friendly SVN 安全漏洞(CVE-2024-37879)
一、漏洞描述:
User-Friendly SVN(USVN)是USVN团队的一套基于Web的Subversion代码库的配置工具。该工具提供创建新项目、管理授权用户列表等功能。User-Friendly SVN v1.0.12之前版本存在安全漏洞,该漏洞源于对用户的输入验证不当。攻击者利用该漏洞通过字段“siteTitle”、“siteIco”和“siteLogo”执行任意代码。
二、风险等级:
高危
三、影响范围:
User-Friendly SVN < v1.0.12
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://github.com/usvn/usvn/commit/6b4678954fca9635154743b95ff9c8947cf5f46f
4 FreeBSD bhyve越界读取漏洞(CVE-2024-41721)
一、漏洞描述:
FreeBSD是一种功能强大、稳定可靠、开源自由的类UNIX操作系统,广泛应用于服务器、桌面系统和嵌入式系统等领域。在FreeBSD系统中,bhyve 是一种硬件级别的虚拟化技术,也是FreeBSD下的原生虚拟机管理器,为用户提供了一种高效、灵活且易于管理的虚拟化解决方案。FreeBSD系统中bhyve的XHCI仿真功能中存在漏洞,由于USB代码中存在边界验证不足,可能导致堆越界读取,进而可能导致任意写入和远程代码执行,如果恶意软件以特权模式在bhyve管理的虚拟机(guest VM)中运行,则可能利用该漏洞导致虚拟机监控程序进程崩溃,或在主机上的 bhyve 用户空间进程(通常以root权限运行)中实现代码执行。
二、风险等级:
高危
三、影响范围:
FreeBSD
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://www.freebsd.org/where/
页:
[1]