找回密码
 注册创意安天

漏洞风险提示(20240306)

[复制链接]
发表于 2024-3-6 09:13 | 显示全部楼层 |阅读模式
免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表安天实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与安天实验室一律不予承担。

1 JetBrains TeamCity身份验证绕过漏洞(CVE-2024-27198)
一、漏洞描述:
        JetBrains TeamCity.jpg
        TeamCity是JetBrains旗下的一款功能强大的持续集成(Continuous Integration,简称CI)工具,包括服务器端和客户端。默认情况下,TeamCity 通过 HTTP 端口8111公开Web 服务器,并且可以选择配置为通过 HTTPS 运行。
        TeamCity版本2023.11.4之前在TeamCity Web 组件中存在身份验证绕过漏洞,可构造恶意URL绕过身份验证检查,从而可以直接访问需要身份验证的端点。
        远程威胁者可利用该漏洞导致RCE、新建管理员帐户并完全控制易受攻击的 TeamCity 服务器,并可能进一步利用导致供应链攻击。

二、风险等级:
        高危
三、影响范围:
        TeamCity(On-Premises)< 2023.11.4
四、修复建议:
        目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
        https://www.jetbrains.com/teamcity/download/other.html


2 JetBrains TeamCity路径遍历漏洞(CVE-2024-27199)
一、漏洞描述:
        JetBrains TeamCity.jpg
        TeamCity是JetBrains旗下的一款功能强大的持续集成(Continuous Integration,简称CI)工具,包括服务器端和客户端。默认情况下,TeamCity 通过 HTTP 端口8111公开Web 服务器,并且可以选择配置为通过 HTTPS 运行。
        可利用该漏洞绕过身份验证,未授权访问某些经过身份验证的端点,成功利用该漏洞可能导致敏感信息泄露、修改服务器上的某些系统设置等。

二、风险等级:
        高危
三、影响范围:
        TeamCity(On-Premises)< 2023.11.4
四、修复建议:
        目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
        https://www.jetbrains.com/teamcity/download/other.html


3 Django拒绝服务漏洞(CVE-2024-27351)
一、漏洞描述:
        django.jpg
        Django是Django基金会的一套基于Python语言的开源Web应用框架。该框架包括面向对象的映射器、视图系统、模板系统等。
        Django 5.0版本,4.2版本,3.2版本存在安全漏洞,该漏洞源于Truncator.words函数和truncatewords_html过滤器存在拒绝服务(DOS)漏洞。

二、风险等级:
        高危
三、影响范围:
        Django 3.2
        Django 4.2
        Django 5.0

四、修复建议:
        目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
        https://docs.djangoproject.com/en/dev/releases/5.0.3/


4 Dell Digital Delivery 资源管理错误漏洞(CVE-2024-0155)
一、漏洞描述:
        Dell.jpg
        Dell Digital Delivery是美国戴尔(Dell)公司的一款专用于Dell计算机设备,用于在线购买计算机预装软件的应用程序。
        Dell Digital Delivery 5.0.86.0 版本之前存在资源管理错误漏洞,该漏洞源于包含释放后重用漏洞。

二、风险等级:
        高危
三、影响范围:
        Dell Digital Delivery < 5.0.86.0
四、修复建议:
        目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
        https://www.dell.com/support/kbdoc/en-us/000222292/dsa-2024-033

您需要登录后才可以回帖 登录 | 注册创意安天

本版积分规则

Archiver|手机版|小黑屋|创意安天 ( 京ICP备09068574,ICP证100468号。 )

GMT+8, 2024-11-23 12:39

Powered by Discuz! X3.5

© 2001-2024 Discuz! Team.

快速回复 返回顶部 返回列表