漏洞风险提示（20240607)

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 Progress Telerik Report Server身份验证绕过漏洞（CVE-2024-4358）
一、漏洞描述：     
       
        Progress Software的Telerik Report Server是一款功能强大的报表服务器解决方案，具备全面的报告管理功能，可帮助组织创建、部署、交付和管理报告。IIS上的Progress Telerik Report Server 2024 Q1 (10.0.24.305) 及之前版本在Register方法的实现中存在身份验证绕过漏洞，由于缺少对当前安装步骤的验证，可能导致远程威胁者绕过身份验证访问Telerik Report Server 受限功能，未授权创建管理员帐户。
二、风险等级：
        高危
三、影响范围：
        Progress Software Telerik Report Server <= 2024 Q1 (10.0.24.305)
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://www.telerik.com/report-server

---

2 Kofax Power PDF堆栈缓冲区溢出漏洞（CVE-2024-27337）
一、漏洞描述：     
       
        Kofax Power PDF是Kofax公司的一款专业PDF编辑和管理软件。Kofax Power PDF的TIF文件解析过程存在堆栈缓冲区溢出漏洞，该漏洞源于程序未正确验证用户提供的数据的长度，远程攻击者可利用该漏洞在当前进程的环境中执行任意代码。
二、风险等级：
        高危
三、影响范围：
        Kofax Power PDF
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        http://docshield.kofax.com/Power ... vanced-5.0.0.17.htm

---

3 Xlight FTP拒绝服务漏洞（CVE-2024-0737）
一、漏洞描述：     
       
        Xlight FTP是Xlight FTP公司的一款高性能且易于使用的FTP服务器软件，使文件传输安全且易于使用。Xlight FTP 1.1版本存在拒绝服务漏洞，攻击者可利用该漏洞导致拒绝服务。
二、风险等级：
        高危
三、影响范围：
        Xlight FTP Xlight FTP 1.1
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://www.xlightftpd.com/download.htm

---

4 ClickHouse信息暴露漏洞（CVE-2024-23689）
一、漏洞描述：     
       
        ClickHouse是ClickHouse公司的用于实时应用程序和分析的速度最快、资源效率最高的开源数据库。ClichHouse存在信息暴露漏洞，攻击者可利用该漏洞通过客户端异常日志获取对客户端证书密码的访问权限。
二、风险等级：
        高危
三、影响范围：
        ClickHouse ClickHouse
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://github.com/ClickHouse/clickhouse-java/releases/tag/v0.4.6