漏洞风险提示(20250103)
免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表安天实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与安天实验室一律不予承担。1 2100 TECHNOLOGY Electronic Official Document Management System 认证绕过漏洞(CVE-2024-13061)
一、漏洞描述:
2100 TECHNOLOGY Electronic Official Document Management System是中国二一零零科技(2100 TECHNOLOGY)公司的一个电子办公文档管理系统。2100 TECHNOLOGY Electronic Official Document Management System 5.0.86.9之前版本存在安全漏洞,该漏洞源于存在认证绕过漏洞,导致未认证的远程攻击者可欺骗服务器获取任意用户令牌并登录系统。
二、风险等级:
高危
三、影响范围:
2100 TECHNOLOGY Electronic Official Document Management System < 5.0.86.9
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://www.2100t.com.tw/web/
2 CHANGING CGFIDO 认证绕过漏洞(CVE-2024-12839)
一、漏洞描述:
CHANGING CGFIDO是中国CHANGING公司的一个无密码身份验证系统。CHANGING CGFIDO 0.0.1至1.1.0版本存在安全漏洞,该漏洞源于存在登录机制认证绕过漏洞,未认证的远程攻击者可通过获取签名后使用任何设备登录系统。
二、风险等级:
高危
三、影响范围:
CHANGING CGFIDO 0.0.1 - 1.1.0
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://www.changingtec.com/news_detail.jsp?item_id=324
3 Red Hat OpenShift 访问控制错误漏洞(CVE-2024-25133)
一、漏洞描述:
Red Hat OpenShift是美国红帽(Red Hat)公司的一款平台即服务(PaaS)云计算平台,它支持构建、测试、部署和运行应用程序。Red Hat OpenShift存在访问控制错误漏洞。攻击者利用该漏洞可以通过在 hive/hive-controllers pod 上执行任意命令来获取集群管理员权限。
二、风险等级:
高危
三、影响范围:
Red Hat OpenShift
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://github.com/openshift/hive/pull/2306
4 IBM WebSphere Automation 操作系统命令注入漏洞(CVE-2024-54181)
一、漏洞描述:
IBM WebSphere Automation是美国国际商业机器(IBM)公司的一个运营平台。自动化运营活动以主动降低安全风险并加速威胁修复。IBM WebSphere Automation 1.7.5版本存在操作系统命令注入漏洞,该漏洞源于可能允许已授权的远程特权用户执行任意代码。攻击者使用特制的输入可以利用此漏洞在系统上执行任意代码。
二、风险等级:
高危
三、影响范围:
IBM WebSphere Automation 1.7.5
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://www.ibm.com/support/pages/node/7179994
页:
[1]