freestyle 发表于 2024-12-23 09:14

漏洞风险提示(20241223)

免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表安天实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与安天实验室一律不予承担。
1 WordPress plugin Travel Booking SQL注入漏洞(CVE-2024-11912)
一、漏洞描述:   
       
        WordPress和WordPress plugin都是WordPress基金会的产品。WordPress是一套使用PHP语言开发的博客平台。该平台支持在PHP和MySQL的服务器上架设个人博客网站。WordPress plugin是一个应用插件。WordPress plugin Travel Booking 3.1.6版本及之前版本存在SQL注入漏洞,该漏洞源于对用户提供的参数转义不足以及对现有 SQL 查询准备不足。攻击者利用该漏洞可以从数据库中提取敏感信息。
二、风险等级:
        高危
三、影响范围:
        WordPress plugin Travel Booking <= 3.1.6
四、修复建议:
        目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
        https://www.wordfence.com/threat-intel/vulnerabilities/id/febd1ff3-3a1a-49c2-b210-9e72051e3172?source=cve
2 Envoy Proxy 安全漏洞(CVE-2024-53271)
一、漏洞描述:   
       
        Envoy Proxy是Envoy Proxy开源的一个云原生高性能边缘/中间/服务代理。Envoy Proxy存在安全漏洞,该漏洞源于无法正确处理http响应,可能导致联网设备中的下游故障。
二、风险等级:
        高危
三、影响范围:
        Envoy Proxy
四、修复建议:
        目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
        https://github.com/envoyproxy/envoy/security/advisories/GHSA-rmm5-h2wv-mg4f   
3 Combodo iTop 跨站脚本漏洞(CVE-2024-54139)
一、漏洞描述:   
       
        Combodo iTop是法国Combodo公司的一套基于ITIL开发且用于IT环境日常运营的开源Web应用程序。该程序提供事件管理、配置管理和问题管理等功能。Combodo iTop 2.7.11、3.1.2和3.2.0之前版本存在跨站脚本漏洞,该漏洞源于容易受到跨站脚本攻击,可导致对_table_id参数进行跨站请求伪造。
二、风险等级:
        高危
三、影响范围:
        Combodo iTop 2.7.11
        Combodo iTop 3.1.2
        Combodo iTop < 3.2.0
四、修复建议:
        目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
        https://github.com/Combodo/iTop/security/advisories/GHSA-jmv2-wfh5-h5wg
4 Laravel Pulse 远程代码执行漏洞(CVE-2024-55661)
一、漏洞描述:   
       
        Laravel Pulse是The Laravel Framework开源的一个适用于 Laravel 应用程序的实时应用程序性能监控工具和仪表板。Laravel Pulse 1.3.1之前版本存在安全漏洞,该漏洞源于容易受到远程代码执行攻击,可通过Livewire组件访问并被利用来调用应用程序内的任意可调用对象。
二、风险等级:
        高危
三、影响范围:
        Laravel Pulse < 1.3.1
四、修复建议:
        目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
        https://github.com/laravel/pulse/security/advisories/GHSA-8vwh-pr89-4mw2
页: [1]
查看完整版本: 漏洞风险提示(20241223)