漏洞风险提示(20241101)
免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表安天实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与安天实验室一律不予承担。1 CyberPanel远程命令执行漏洞(CVE-2024-51567)
一、漏洞描述:
CyberPanel是一个基于OpenLiteSpeed的Web托管控制面板,它提供了直观的用户界面和简单易用的操作方式,使得用户可以轻松管理自己的网站和服务器。由于upgrademysqlstatus接口缺乏适当的身份验证检查以及对statusfile参数的输入验证和清理,未经身份验证的攻击者可构造特制请求将恶意命令注入到 statusfile 参数字段,利用该漏洞远程执行任意命令,成功利用可能导致数据泄露或执行未授权操作。
二、风险等级:
高危
三、影响范围:
CyberPanel v2.3.6
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://github.com/usmannasir/cyberpanel/tree/v2.3.7
2 Google Chrome Dawn越界写入漏洞(CVE-2024-10487)
一、漏洞描述:
Google Chrome是由Google公司开发的一款网页浏览器。Dawn是Chrome浏览器中用于实现WebGPU的一个关键组件,它为开发者提供了强大的图形处理能力和跨平台的兼容性。该漏洞存在于Chrome Dawn 图形库组件中,可通过诱导受害者访问恶意HTML页面来利用该漏洞,成功利用可能导致程序崩溃、敏感信息泄露或任意代码执行。
二、风险等级:
高危
三、影响范围:
Google Chrome(Windows/Mac)版本 < 130.0.6723.91/.92
Google Chrome(Linux)版本 < 130.0.6723.91
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://www.google.cn/chrome/
3 IBM Flexible Service Processor 信任管理问题漏洞(CVE-2024-45656)
一、漏洞描述:
IBM Flexible Service Processor(IBM FSP)是美国国际商业机器(IBM)公司的一系列灵活服务处理器。IBM Flexible Service Processor存在信任管理问题漏洞,该漏洞源于具有静态凭证,可能允许网络用户获得 FSP 的服务特权。
二、风险等级:
高危
三、影响范围:
IBM Flexible Service Processor
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://www.ibm.com/support/pages/node/7174183
4 Mozilla多款产品 安全漏洞(CVE-2024-10459)
一、漏洞描述:
Mozilla Firefox等都是美国Mozilla基金会的产品。Mozilla Firefox是一款开源Web浏览器。Mozilla Firefox ESR是Firefox(Web浏览器)的一个延长支持版本。Mozilla Thunderbird是一套从Mozilla Application Suite独立出来的电子邮件客户端软件。Mozilla多款产品存在安全漏洞,该漏洞源于当启用可访问性时,攻击者可能造成释放后重用,从而导致可能被利用的崩溃。以下产品及版本受到影响:Firefox 132之前版本、Firefox ESR 128.4之前版本、Firefox ESR 115.17之前版本、Thunderbird 128.4之前版本和Thunderbird 132之前版本。
二、风险等级:
高危
三、影响范围:
Firefox < 132
Firefox ESR < 128.4
Firefox ESR < 115.17
Thunderbird < 128.4
Thunderbird < 132
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://www.mozilla.org/en-US/security/advisories/
页:
[1]