漏洞风险提示（20240710)

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 mySCADA myPRO 远程代码执行漏洞（CVE-2024-4708）
一、漏洞描述：     
       
        mySCADA myPRO是一个应用软件。myPRO 是专业的 HMI/SCADA 系统，主要设计用于工业过程的可视化和控制。mySCADA myPRO 8.31.0之前版本存在安全漏洞，该漏洞源于使用了硬编码密码，攻击者可能在受影响的设备上远程执行代码。
二、风险等级：
        高危
三、影响范围：
        mySCADA myPRO < 8.31.0
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://www.myscada.org/mypro/

---

2 Parse Server SQL注入漏洞（CVE-2024-39309）
一、漏洞描述：     
       
        Parse Server是一个开源后端，可以部署到任何可以运行 Node.js 的基础设施。Parse Server 6.5.7和7.1.0之前版本存在安全漏洞，该漏洞源于在配置使用PostgreSQL数据库时，容易受到SQL注入攻击。
二、风险等级：
        高危
三、影响范围：
        Parse Server < 7.1.0
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://github.com/parse-communi ... GHSA-c2hr-cqg6-8j6r

---

3 CocoaPods 远程代码执行漏洞（CVE-2024-39309）
一、漏洞描述：     
       
        CocoaPods是CocoaPods开源的一个 Cocoa 依赖关系管理器。CocoaPods存在安全漏洞，该漏洞源于存在远程代码执行漏洞，攻击者利用该漏洞可以获取root访问权限。
二、风险等级：
        高危
三、影响范围：
        CocoaPods
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://github.com/CocoaPods/CocoaPods/releases/tag/1.15.2

---

4 AofL JS 代码注入漏洞（CVE-2024-38987）
一、漏洞描述：     
       
        AofL JS是AgeOfLearning开源的一个框架。AofL JS v3.14.0版本存在安全漏洞，该漏洞源于通过组件defaultsDeep包含原型污染，允许攻击者通过注入任意属性来执行任意代码或导致拒绝服务(DoS)。
二、风险等级：
        高危
三、影响范围：
        AofL JS v3.14.0
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://github.com/AgeOfLearning ... 1e23ec01c45eab43008