漏洞风险提示(20241219)
免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表安天实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与安天实验室一律不予承担。1 中华电信TenderDocTransfer任意文件写入漏洞(CVE-2024-12642)
一、漏洞描述:
Chunghwa Telecom TenderDocTransfer是中国中华电信(Chunghwa Telecom)公司的一款应用程序。Chunghwa Telecom TenderDocTransfer存在安全漏洞,该漏洞源于存在任意文件写入和缺少CSRF保护,以及API中的相对路径遍历漏洞,允许未认证的远程攻击者通过网络钓鱼写入任意文件到用户系统的任何路径。
二、风险等级:
高危
三、影响范围:
0.41.151 <= TenderDocTransfer <= 0.41.156
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://www.cht.com.tw/zh-tw/home/cht
2 Siemens Opcenter Execution Foundation 缓冲区溢出漏洞(CVE-2024-49775)
一、漏洞描述:
Siemens Opcenter Execution Foundation是德国西门子(Siemens)公司的一种本地整体设备效率解决方案,用于计算 OEE 值并执行停机时间分析。Siemens Opcenter Execution Foundation存在安全漏洞,该漏洞源于包含基于堆的缓冲区溢出漏洞,可能允许未经身份验证的远程攻击者执行任意代码。
二、风险等级:
高危
三、影响范围:
Siemens Opcenter Execution Foundation
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://cert-portal.siemens.com/productcert/html/ssa-928984.html
3 MinIO 权限升级漏洞(CVE-2024-55949)
一、漏洞描述:
MinIO是美国MinIO公司的一款开源的对象存储服务器。该产品支持构建用于机器学习、分析和应用程序数据工作负载的基础架构。MinIO存在安全漏洞。攻击者利用该漏洞可以升级权限。
二、风险等级:
高危
三、影响范围:
MinIO
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://github.com/minio/minio/releases/tag/RELEASE.2024-12-13T22-19-12Z
4 Lenovo Display Control Center和Lenovo Accessories and Display Manager 证书验证漏洞(CVE-2024-6001)
一、漏洞描述:
Lenovo Display Control Center(LDCC)和Lenovo Accessories and Display Manager(LADM)都是中国联想(Lenovo)公司的产品。Lenovo Display Control Center是一个用于 Lenovo 显示器的软件平台。Lenovo Accessories and Display Manager是一个旨在帮助用户更好、更高效地使用联想显示器和选件的软件平台。Lenovo Display Control Center 3.0.32161.0之前版本和Lenovo Accessories and Display Manager 1.0.5.0.5之前版本存在安全漏洞,该漏洞源于存在不正确的证书验证漏洞,从而允许网络攻击者将更新请求重定向到远程服务器并以提升的权限执行代码。
二、风险等级:
高危
三、影响范围:
Lenovo Display Control Center < 3.0.32161.0
Lenovo Accessories and Display Manager < 1.0.5.0.5
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://support.lenovo.com/us/en/product_security/LEN-174319
页:
[1]