找回密码
 注册创意安天

漏洞风险提示(20240227)

[复制链接]
发表于 2024-2-27 09:14 | 显示全部楼层 |阅读模式
免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表安天实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与安天实验室一律不予承担。

1 Apache DolphinScheduler JS 任意代码执行漏洞 (CVE-2024-23320)
一、漏洞描述:
        Apache DolphinScheduler.jpg
        Apache DolphinScheduler是一个分布式和可扩展的开源工作流编排平台,具有强大的DAG可视化界面,专注于解决数据流水线中的复杂任务依赖问题,并提供多种类型的任务可供"开箱即用"。
        Apache DolphinScheduler 在 3.2.1 之前版本中存在远程代码执行漏洞。由于系统对代码过滤不充分,经过身份认证的攻击者可以在服务器上进行远程代码执行,从而控制服务器。

二、风险等级:
        高危
三、影响范围:
        Apache DolphinScheduler < 3.2.1
四、修复建议:
        目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
        https://github.com/apache/dolphinscheduler/releases


2 Spring Framework URL解析不当漏洞(CVE-2024-22243)
一、漏洞描述:
        spring.jpg
        Spring Framework 是一个开源的Java应用程序框架,UriComponentsBuilder是Spring Web中用于构建和操作URI的工具类。由于 UriComponentsBuilder 处理URL时未正确过滤用户信息中的方括号,导致攻击者可构造包含方括号的恶意URL绕过相关验证。
        如果程序依赖UriComponentsBuilder.fromUriString()等方法对URL进行解析和校验,则可能导致验证绕过,造成开放重定向或SSRF漏洞。

二、风险等级:
        高危
三、影响范围:
        6.1.0 <= Spring Framework <= 6.1.3
        6.0.0 <= Spring Framework <= 6.0.16
        5.3.0 <= Spring Framework <= 5.3.31

四、修复建议:
        目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
        https://spring.io/projects/spring-framework


3 Apache Answer 条件竞争漏洞 (CVE-2024-26578)
一、漏洞描述:
        Apache Answer.jpg
        Apache Answer 是一个开源的问答系统,它允许用户提交问题并由其他用户回答。Apache Answer 在 1.2.1 及之前版本中存在条件竞争漏洞。
        正常情况下,只能一个邮箱只能注册一次。但是攻击者可以利用脚本并发提交多个注册,可能会导致同时创建多个同名用户帐户。

二、风险等级:
        高危
三、影响范围:
        Apache Answer <= 1.2.1
四、修复建议:
        目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
        https://github.com/apache/incubator-answer/releases


4 Apache Answer 拒绝服务漏洞(CVE-2024-22393)
一、漏洞描述:
        Apache Answer.jpg
        Apache Answer 是一个开源的问答系统,它允许用户提交问题并由其他用户回答。
        Apache Answer 中存在危险类型文件漏洞的无限制上传,通过上传大像素文件进行的像素洪水攻击将导致服务器内存不足。

二、风险等级:
        高危
三、影响范围:
        1.2.1 <= Apache Answer < 1.2.5
四、修复建议:
        目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
        https://github.com/apache/incubator-answer/releases

您需要登录后才可以回帖 登录 | 注册创意安天

本版积分规则

Archiver|手机版|小黑屋|创意安天 ( 京ICP备09068574,ICP证100468号。 )

GMT+8, 2024-11-23 12:10

Powered by Discuz! X3.5

© 2001-2024 Discuz! Team.

快速回复 返回顶部 返回列表