漏洞风险提示（20240802)

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 Langflow 权限提升漏洞（CVE-2024-7297）
一、漏洞描述：     
       
        Langflow是Langflow开源的一个用于构建多代理和 RAG 应用程序的可视化框架。Langflow 1.0.13之前版本存在安全漏洞，该漏洞源于存在权限提升问题，允许远程且权限较低的攻击者通过在/api/v1/users端点执行批量赋值请求来获得超级管理员权限。
二、风险等级：
        高危
三、影响范围：
        Langflow < 1.0.13
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://www.tenable.com/security/research/tra-2024-26

---

2 Simopro Technology WinMatrix3 SQL注入漏洞（CVE-2024-7201）
一、漏洞描述：     
       
        Simopro Technology WinMatrix3是中国Simopro公司的一个资源管理系统。Simopro Technology WinMatrix3 1.2.33.3及之前版本存在SQL注入漏洞，该漏洞源于登录功能缺乏对用户输入的适当验证，允许未经身份验证的远程攻击者注入SQL命令来读取、修改和删除数据库内容。
二、风险等级：
        高危
三、影响范围：
        Simopro Technology WinMatrix3 <= 1.2.33.3
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        http://www.simopro.com/product_description.html

---

3 Softnext Mail SQR Expert and Mail Archiving Expert 操作系统命令注入漏洞（CVE-2024-5670）
一、漏洞描述：     
       
        Softnext Mail SQR Expert and Mail Archiving Expert是中国Softnext Mail公司的一个电子邮件管理平台。Softnext Mail SQR Expert and Mail Archiving Expert存在操作系统命令注入漏洞，该漏洞源于Web服务未正确验证用户输入。攻击者利用该漏洞可以注入任意操作系统命令并在远程服务器上执行。
二、风险等级：
        高危
三、影响范围：
        Softnext Mail SQR Expert and Mail Archiving Expert
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://www.softnext.com.tw/index.html

---

4 TOTOLINK A3600R 缓冲区溢出漏洞（CVE-2024-7174）
一、漏洞描述：     
       
        TOTOLINK A3600R是中国吉翁电子（TOTOLINK）公司的一款 6 天线 1200M 无线路由器。TOTOLINK A3600R 4.1.2cu.5182_B20201102 版本存在安全漏洞，该漏洞源于 /cgi-bin/cstecgi.cgi 的 setdeviceName 函数的 deviceMac/deviceName 包含一个缓冲区溢出问题。
二、风险等级：
        高危
三、影响范围：
        TOTOLINK A3600R 4.1.2cu.5182_B20201102
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://www.totolink.net/home/me ... /id/241/ids/36.html