漏洞风险提示(20250217)
免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表安天实验室观点,因此第三方对以下内 容进行分享、传播等行为,以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与安天实验室一律不予承担。1 VMware Aria Operations本地权限提升漏洞(CVE-2024-38831)
一、漏洞描述:
VMware Aria Operations是美国威睿(VMware)公司的一个统一的、人工智能驱动的自动驾驶IT运营管理平台,适用于私有云、混合云和多云环境。VMware Aria Operations存在本地权限提升漏洞,攻击者可利用该漏洞向属性文件插入恶意命令,进而提升至root权限。
二、风险等级:
高
三、影响范围:
VMware Aria Operations
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://support.broadcom.com/web/ecx/support-content-notification/-/external/content/SecurityAdvisories/0/25199
2 Red Hat Keycloak会话固定漏洞(CVE-2024-7341)
一、漏洞描述:
Red Hat Keycloak是美国红帽(Red Hat)公司的一套为现代应用和服务提供身份验证和管理功能的软件。Red Hat Keycloak存在会话固定漏洞,该漏洞源于SAML适配器中发现了会话固定问题,即使配置了turnOffChangeSessionIdOnLogin选项,会话ID和JSESSIONID cookie在登录时也不会更改,攻击者可以利用该漏洞在身份验证之前劫持当前会话,并触发会话固定攻击。
二、风险等级:
高
三、影响范围:
Red Hat Keycloak
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://access.redhat.com/security/cve/CVE-2024-7341
3 D-Link DI-8300命令注入漏洞(CVE-2024-44410)
一、漏洞描述:
D-Link DI-8300是中国友讯(D-Link)公司的一款专为中小型网络环境设计的无线宽带路由器。D-Link DI-8300 16.07.26A1版本存在命令注入漏洞,攻击者可以利用该漏洞通过upgrade_filter_asp函数实现命令注入。
二、风险等级:
高
三、影响范围:
D-Link DI-8300 16.07.26A1
四、修复建议:
厂商尚未提供漏洞修复方案,请关注厂商主页更新:
http://www.dlink.com.cn/
4 AngularJS输入验证错误漏洞(CVE-2024-8373)
一、漏洞描述:
AngularJS是AngularJS开源的一款基于TypeScript的开源Web应用程序框架。AngularJS存在输入验证错误漏洞,该漏洞源于系统对source HTML元素中的srcset属性值处理不当,攻击者可以利用该漏洞绕过常见的图像源限制,进而实现内容篡改。
二、风险等级:
高
三、影响范围:
angularJS angularJS
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://zh.herodevs.com/support/nes-angularjs
页:
[1]