找回密码
 注册创意安天

漏洞风险提示(20240319)

[复制链接]
发表于 2024-3-19 09:16 | 显示全部楼层 |阅读模式
免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表安天实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与安天实验室一律不予承担。

1 74cmsSE 任意文件上传漏洞 (CVE-2024-2561)
一、漏洞描述:
        74cms.jpg
        74CMS人才招聘系统是基于PHP+MYSQL的免费网站管理系统源码,提供完善的人才招聘网站建设方案。
        在74cmsSE 3.28.0版本中发现了一个任意文件上传漏洞。受影响的组件是企业logo处理程序的文件/controller/company/Index.php#sendCompanyLogo中的sendCompanyLogo函数,通过操纵参数imgBase64可以导致无限制的文件上传。

二、风险等级:
        高危
三、影响范围:
        74cmsSE 3.28.0
四、修复建议:
        临时修复建议:
        修改复杂账户密码


2 JFinalCMS sql注入漏洞(CVE-2024-2568)
一、漏洞描述:
       
        JFinalCMS,极速开发,动态添加字段,自定义标签,动态创建数据库表并crud数据,数据库备份、还原,动态添加站点(多站点功能),一键生成模板代码。
        JFinalCMS 5.0.0中的一个功能在组件Custom Data Page的文件/admin/div_data/delete?divId=9中存在漏洞,授权的用户利用可能导致SQL注入。

二、风险等级:
        高危
三、影响范围:
        JFinalCMS <= 5.0.0
四、修复建议:
        临时修复建议:
        修改复杂账户密码


3 GhostRace CPU信息泄露漏洞(CVE-2024-2193)
一、漏洞描述:
        GhostRace CPU.jpg
        该漏洞为Spectre v1 (CVE-2017-5753) 瞬时执行CPU漏洞的变体,结合了推测执行和竞争条件。威胁者可利用该漏洞,利用竞争条件访问推测的可执行代码路径,从而泄露CPU中的任意数据。
二、风险等级:
        高危
三、影响范围:
        Intel、AMD、ARM 、IBM等主要硬件供应商的处理器以及Linux 内核,受 Spectre-v1 影响的微架构
四、修复建议:
        目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
        https://www.vusec.net/projects/ghostrace/


4 Weather app未授权漏洞(CVE-2024-2567)
一、漏洞描述:
        Weather app.jpg
        Weather app是一个天气预报应用。Weather app 1.0.0版本存在安全漏洞。攻击者利用该漏洞导致备份文件暴露给未经授权的控制范围。
二、风险等级:
        高危
三、影响范围:
        Weather app 1.0.0
四、修复建议:
        目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
        https://play.google.com/store/ap ... ;hl=en_US&pli=1

您需要登录后才可以回帖 登录 | 注册创意安天

本版积分规则

Archiver|手机版|小黑屋|创意安天 ( 京ICP备09068574,ICP证100468号。 )

GMT+8, 2024-11-23 11:50

Powered by Discuz! X3.5

© 2001-2024 Discuz! Team.

快速回复 返回顶部 返回列表