找回密码
 注册创意安天

漏洞风险提示(20240711)

[复制链接]
发表于 2024-7-11 09:02 | 显示全部楼层 |阅读模式
免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表安天实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与安天实验室一律不予承担。

1 SuiteCRM SQL注入漏洞(CVE-2024-36412)
一、漏洞描述:     
        SuiteCRM.jpg
        SuiteCRM是一款屡获殊荣的企业级开源客户关系管理(CRM)系统,它具有强大的功能和高度的可定制性,且完全免费。SuiteCRM存在SQL注入漏洞,未经身份验证的攻击者可以通过该漏洞拼接执行SQL注入语句,从而获取数据库敏感信息。
二、风险等级:
        高危
三、影响范围:
        SuiteCRM < 8.6.1
四、修复建议:
        目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
        https://suitecrm.com


2 Deep Sea Electronics DSE855 身份认证绕过漏洞(CVE-2024-5947)
一、漏洞描述:     
        Deep Sea Electronics.jpg
        DSE855是一款将DSE控制器的USB端口转换为以夜网端口的设备,内置网络服务器,支持通过内部网络和互联网进行使用。Deep Sea Electronics DSE855 配置备份缺少身份验证信息泄露漏洞。此漏洞允许网络相邻的攻击者泄露有关受影响的 Deep Sea Electronics DSE855 设备安装的敏感信息。利用此漏洞不需要身份验证。基于 Web 的 UI 中存在特定缺陷。该问题是由于在允许访问功能之前缺少身份验证所致。攻击者可利用此漏洞泄露存储的凭据,从而导致进一步入侵。
二、风险等级:
        高危
三、影响范围:
        DSE855
四、修复建议:
        目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
        https://www.deepseaelectronics.c ... iew-displays/dse855


3 Avaya IP Office 远程命令执行漏洞(CVE-2024-4197)
一、漏洞描述:     
        Avaya IP Office.jpg
        Avaya IP Office是美国亚美亚(Avaya)公司的一套小型商务电话系统。Avaya IP Office 11.1.3.1 之前版本存在安全漏洞,该漏洞源于允许通过 One-X 组件执行远程命令或代码。
二、风险等级:
        高危
三、影响范围:
        Avaya IP Office < 11.1.3.1
四、修复建议:
        目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
        https://download.avaya.com/css/public/documents/101090768


4 AG Grid 远程代码执行漏洞(CVE-2024-38996)
一、漏洞描述:     
        AG Grid.jpg
        AG Grid是AG Grid开源的一个功能齐全、高度可定制的 JavaScript 数据网格。AG Grid v31.3.2版本存在安全漏洞,该漏洞源于通过mergeDeep函数包含原型污染,允许攻击者通过注入任意属性来执行任意代码或导致拒绝服务(DoS)。
二、风险等级:
        高危
三、影响范围:
        AG Grid v31.3.2
四、修复建议:
        目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
        https://github.com/ag-grid/ag-grid/releases/tag/v32.0.0
您需要登录后才可以回帖 登录 | 注册创意安天

本版积分规则

Archiver|手机版|小黑屋|创意安天 ( 京ICP备09068574,ICP证100468号。 )

GMT+8, 2024-11-23 11:58

Powered by Discuz! X3.5

© 2001-2024 Discuz! Team.

快速回复 返回顶部 返回列表