freestyle 发表于 2024-12-9 09:07

漏洞风险提示(20241209)

免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表安天实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与安天实验室一律不予承担。
1 SailPoint IdentityIQ访问控制不当漏洞(CVE-2024-10905)
一、漏洞描述:   
       
        SailPoint IdentityIQ 是一个功能强大的身份和访问管理(IAM)平台,广泛用于企业中,以提供全面的身份治理和访问管理解决方案。SailPoint IdentityIQ中存在一个访问控制不当漏洞,攻击者可利用该漏洞在未经授权的情况下通过HTTP直接访问 IdentityIQ 应用程序目录中本应受保护的静态内容(比如敏感配置文件、应用程序代码和用户数据等),从而可能导致敏感信息泄露或执行未经授权的操作。
二、风险等级:
        高危
三、影响范围:
        IdentityIQ 8.4 < 8.4p2
        IdentityIQ 8.3 < 8.3p5
        IdentityIQ 8.2 < 8.2p8
        IdentityIQ 的所有先前版本
四、修复建议:
        目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
        https://www.sailpoint.com/security-advisories/identityiq-improper-access-control-vulnerability-cve-2024-10905
2 Django Oracle SQL注入漏洞(CVE-2024-53908)
一、漏洞描述:   
       
        Django是一个基于Python的开源Web应用框架。Django应用使用Oracle数据库作为后端时,当Django应用中的django.db.models.fields.json.HasKey查找功能被直接用于Oracle数据库,并且其左侧参数(lhs)包含不受信任的数据时,可能会导致SQL注入攻击,攻击者可通过注入恶意SQL代码来攻击数据库,从而可能导致敏感数据泄露、数据篡改或数据库被恶意控制。
二、风险等级:
        高危
三、影响范围:
        Django 5.1 < 5.1.4
        Django 5.0 < 5.0.10
        Django 4.2 < 4.2.17
四、修复建议:
        目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
        https://www.djangoproject.com/download/
3 solana/web3.js 信息泄露漏洞(CVE-2024-54134)
一、漏洞描述:   
       
        solana/web3.js是Solana Labs的一个JavaScript 库。solana/web3.js 1.95.6版本和1.95.7版本存在信息泄露漏洞,该漏洞源于允许攻击者发布未经授权的恶意程序包,这些程序包经过修改可以窃取私钥材料并从直接处理私钥的dapps中窃取资金。
二、风险等级:
        高危
三、影响范围:
        solana/web3.js 1.95.6 - 1.95.7
四、修复建议:
        目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
        https://github.com/solana-labs/solana-web3.js/releases/tag/v1.95.8
4 SolarWinds Platform 跨站脚本漏洞(CVE-2024-45717)
一、漏洞描述:   
       
        SolarWinds Platform是美国SolarWinds公司的一个统一监控、可观察性和服务管理平台。SolarWinds Platform存在跨站脚本漏洞,该漏洞源于容易受到跨站脚本攻击,会影响用户界面的搜索和节点信息部分。
二、风险等级:
        高危
三、影响范围:
        SolarWinds Platform
四、修复建议:
        目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
        https://documentation.solarwinds.com/en/success_center/orionplatform/content/release_notes/solarwinds_platform_2024-4-1_release_notes.htm
页: [1]
查看完整版本: 漏洞风险提示(20241209)