漏洞风险提示(20250107)
免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表安天实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与安天实验室一律不予承担。1 Windows LDAP拒绝服务漏洞(CVE-2024-49113)
一、漏洞描述:
由于Windows LDAP服务的wldap32.dll中存在越界读取漏洞,未经身份验证的攻击者可以通过未认证的特制DCE/RPC调用(或通过其他方式)诱使目标服务器(作为 LDAP 客户端)向攻击者控制的恶意LDAP服务器发起查询请求,当恶意LDAP服务器返回特制的、恶意构造的响应时可导致拒绝服务或信息泄露。
二、风险等级:
高危
三、影响范围:
Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core installation)
Windows Server 2012 R2 (Server Core installation)
Windows Server 2012 R2
Windows Server 2012 (Server Core installation)
Windows Server 2012
Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)
Windows Server 2008 R2 for x64-based Systems Service Pack 1
Windows Server 2008 for x64-based Systems Service Pack 2 (Server Core installation)
Windows Server 2008 for x64-based Systems Service Pack 2
Windows Server 2008 for 32-bit Systems Service Pack 2
Windows Server 2016 (Server Core installation)
Windows Server 2016
Windows 10 Version 1607 for x64-based Systems
Windows 10 Version 1607 for 32-bit Systems
Windows 10 for x64-based Systems
Windows 10 for 32-bit Systems
Windows Server 2025
Windows 11 Version 24H2 for x64-based Systems
Windows 11 Version 24H2 for ARM64-based Systems
Windows Server 2022, 23H2 Edition (Server Core installation)
Windows 11 Version 23H2 for x64-based Systems
Windows 11 Version 23H2 for ARM64-based Systems
Windows Server 2025 (Server Core installation)
Windows 10 Version 22H2 for 32-bit Systems
Windows 10 Version 22H2 for ARM64-based Systems
Windows 10 Version 22H2 for x64-based Systems
Windows 11 Version 22H2 for x64-based Systems
Windows 11 Version 22H2 for ARM64-based Systems
Windows 10 Version 21H2 for x64-based Systems
Windows 10 Version 21H2 for ARM64-based Systems
Windows 10 Version 21H2 for 32-bit Systems
Windows Server 2022 (Server Core installation)
Windows Server 2022
Windows Server 2019 (Server Core installation)
Windows Server 2019
Windows 10 Version 1809 for x64-based Systems
Windows 10 Version 1809 for 32-bit Systems
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-49113
2 Apache Struts 2远程代码执行漏洞(CVE-2024-53677)
一、漏洞描述:
Apache Struts 2是一个基于MVC设计模式的Web应用框架,可用于创建企业级Java web应用程序。Apache Struts 2多个受影响版本中文件上传逻辑存在缺陷,由于在文件上传过程中对用户提供的参数缺乏严格校验,攻击者可以通过操纵文件上传参数执行路径遍历攻击,某些情况下可能导致将恶意文件上传到服务器上的其他位置,从而导致远程代码执行。
二、风险等级:
高危
三、影响范围:
Apache Struts 2.0.0 - 2.3.37 (EOL)
Apache Struts 2.5.0 - 2.5.33
Apache Struts 6.0.0 - 6.3.0.2
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://struts.apache.org/download.cgi
3 Apache HugeGraph-Server JWT 权限绕过漏洞(CVE-2024-43441)
一、漏洞描述:
Apache HugeGraph-Server 是 Apache HugeGraph 项目的核心部分,它是一个分布式图数据库系统,旨在处理大规模图形数据集,支持图形模型的存储、查询和分析。官方披露 CVE-2024-43441 Apache HugeGraph-Server JWT 权限绕过漏洞,攻击者可构造恶意请求绕过身份认证登陆进入系统。
二、风险等级:
高危
三、影响范围:
Apache HugeGraph < 1.5.0
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://hugegraph.apache.org/docs/changelog/hugegraph-1.5.0-release-notes/
4 Huawei WS7200-10 安全漏洞(CVE-2023-7266)
一、漏洞描述:
Huawei WS7200-10是中国华为(Huawei)公司的一款无线路由器。Huawei WS7200-10存在安全漏洞,该漏洞源于存在连接劫持漏洞,成功利用该漏洞可能导致设备产生拒绝服务或信息泄露影响。
二、风险等级:
高危
三、影响范围:
TC7001-10 = TC7001-10 2.0.0.336(SP6C300)
WS7200-10 = WS7200-10-OTA 3.0.3.215-fullpackage(auto_1)
WS7206-10 = WS7206-10-OTA 4.0.0.16(V3R2)-fullpackage(auto)
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://www.huawei.com/cn/psirt/security-advisories/2024/huawei-sa-chvishhr-d616b19e-cn
页:
[1]