漏洞风险提示（20240514）

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 Google Golang 安全漏洞(CVE-2024-24788)
一、漏洞描述：     
       
        Google Golang是美国谷歌（Google）公司的一种静态强类型、编译型语言。Go的语法接近C语言，但对于变量的声明有所不同。Go支持垃圾回收功能。Go的并行模型是以东尼·霍尔的通信顺序进程（CSP）为基础，采取类似模型的其他语言包括Occam和Limbo，但它也具有Pi运算的特征，比如通道传输。在1.8版本中开放插件（Plugin）的支持，这意味着现在能从Go中动态加载部分函数。Google Golang 1.22.0-0 到 1.22.3版本存在安全漏洞，该漏洞源于响应查询的格式错误的 DNS 消息可能会导致Lookup 函数陷入无限循环。
二、风险等级：
        高危
三、影响范围：
        Google Golang 1.22.0-0 - 1.22.3
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://pkg.go.dev/vuln/GO-2024-2824

---

2 Qualcomm Chipsets 安全漏洞(CVE-2024-21474)
一、漏洞描述：     
       
        Qualcomm Chipsets是美国高通（Qualcomm）公司的一系列芯片组。Qualcomm Chipsets 存在安全漏洞，该漏洞源于当使用先前调用的缓冲区大小而不进行验证或重新初始化时会发生内存损坏。
二、风险等级：
        高危
三、影响范围：
        Qualcomm Chipsets
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://docs.qualcomm.com/produc ... 2024-bulletin.html/

---

3 F5 BIG-IP  OData 注入漏洞（CVE-2024-21793)
一、漏洞描述：     
       
        F5 BIG-IP是美国F5公司的一款集成了网络流量管理、应用程序安全管理、负载均衡等功能的应用交付平台。F5 BIG-IP Next Central Manager API 存在安全漏洞，该漏洞源于存在 OData 注入漏洞。
二、风险等级：
        高危
三、影响范围：
        F5 BIG-IP Next Central Manager API
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://my.f5.com/manage/s/article/K000138732/

---

4 Combo Blocks 访问控制不当漏洞(CVE-2024-0881)
一、漏洞描述：     
       
        Post Grid、Form Maker、Popup Maker、WooCommerce Blocks、Post Blocks、Post Carousel WordPress 插件在 2.2.76 之前不会阻止在某些未经身份验证的 AJAX 操作的结果中显示受密码保护的帖子，允许未经身份验证的用户阅读此类帖子。
二、风险等级：
        高危
三、影响范围：
        Combo Blocks < 2.2.76
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://wordpress.org/plugins/post-grid