freestyle 发表于 2024-12-4 11:24

漏洞风险提示(20241204)

免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表安天实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与安天实验室一律不予承担。
1 IBM Security Verify Access 信任管理问题漏洞(CVE-2024-49805)
一、漏洞描述:   
       
        IBM Security Verify Access(ISAM)是美国国际商业机器(IBM)公司的一款提高用户访问安全的服务。该服务通过使用基于风险的访问、单点登录、集成访问管理控制、身份联合以及移动多因子认证实现对Web、移动、IoT 和云技术等平台安全简单的访问。IBM Security Verify Access Appliance 10.0.0版本至10.0.8版本存在信任管理问题漏洞,该漏洞源于包含硬编码的凭证,如密码或加密密钥。
二、风险等级:
        高危
三、影响范围:
        IBM Security Verify Access Appliance 10.0.0 - 10.0.8
四、修复建议:
        目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
        https://www.ibm.com/support/pages/node/7177447
2 Cohesive Networks VNS3 操作系统命令注入漏洞(CVE-2024-8807)
一、漏洞描述:   
       
        Cohesive Networks VNS3是Cohesive Networks公司的一套VPN(虚拟私人网络)解决方案。Cohesive Networks VNS3存在操作系统命令注入漏洞,该漏洞源于在使用用户提供的字符串执行系统调用之前缺乏适当的验证。攻击者利用该漏洞可以执行任意代码。
二、风险等级:
        高危
三、影响范围:
        Cohesive Networks VNS3
四、修复建议:
        目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
        https://cohesive.net/support/security-responses/
3 Mitsubishi Electric MC Works64和Mitsubishi Electric GENESIS64 代码问题漏洞(CVE-2024-9852)
一、漏洞描述:   
       
        Mitsubishi Electric MC Works64和Mitsubishi Electric GENESIS64都是日本三菱电机(Mitsubishi Electric)公司的产品。Mitsubishi Electric MC Works64是一套数据采集与监控系统(SCADA)。Mitsubishi Electric GENESIS64是一个 SCADA 套件。Mitsubishi Electric MC Works64和Mitsubishi Electric GENESIS64存在代码问题漏洞,该漏洞源于存在不受控制的搜索路径元素漏洞,使得攻击者可通过在特定文件夹中存储特制DLL来执行恶意代码。
二、风险等级:
        高危
三、影响范围:
        Mitsubishi Electric MC Works64
        Mitsubishi Electric GENESIS64
四、修复建议:
        目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
        https://www.mitsubishielectric.com/en/psirt/vulnerability/pdf/2024-010_en.pdf
4 SP PHP Email Handler 注入漏洞(CVE-2024-53860)
一、漏洞描述:   
       
        SP PHP Email Handler是Spencer14420个人开发者的一个用于处理联系表单提交的 PHP 包。SP PHP Email Handler 1.0.0之前版本存在注入漏洞,该漏洞源于发送的消息容易受到滥用,攻击者能够使用服务器发送垃圾邮件、网络钓鱼电子邮件或其他恶意内容。
二、风险等级:
        高危
三、影响范围:
        SP PHP Email Handler < 1.0.0
四、修复建议:
        目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
        https://github.com/Spencer14420/SPEmailHandler-PHP/releases/tag/1.0.0
页: [1]
查看完整版本: 漏洞风险提示(20241204)