漏洞风险提示（20240911)

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 Progress Software LoadMaster远程命令执行漏洞（CVE-2024-7591）
一、漏洞描述：     
       
        Progress Software LoadMaster（也称为Progress Kemp LoadMaster）是由Progress Software Corporation开发和提供的一款负载均衡和应用交付控制器(ADC)，具备高可用性、可靠性和性能优化的特点，能够满足企业对于应用服务的高要求。Progress LoadMaster中存在输入验证不当漏洞，可能导致命令注入，未经身份验证的远程威胁者可访问 LoadMaster 的管理界面并发送恶意设计的HTTP请求，从而执行任意系统命令。
二、风险等级：
        高危
三、影响范围：
        Progress Software LoadMaster <= 7.2.60.0
        Progress Software LoadMaster Multi-Tenant (MT) Hypervisor <= 7.1.35.11
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://support.kemptechnologies ... ility-CVE-2024-7591

---

2 Kibana任意代码执行漏洞（CVE-2024-37288）
一、漏洞描述：     
       
        Kibana是一个开源的分析与可视化平台，设计用于和 Elasticsearch协作，它允许用户搜索、查看、交互存放在Elasticsearch索引里的数据，并通过各种图表、表格、地图等形式直观地展示数据，从而实现高级的数据分析与可视化。Kibana 8.15.0版本中存在反序列化漏洞，当使用Elastic Security内置AI工具并配置了Amazon Bedrock Connector时，威胁者可利用Amazon Bedrock Connector传递恶意设计的YAML数据/文档到 Kibana，从而触发Kibana中的反序列化漏洞，导致任意代码执行。
二、风险等级：
        高危
三、影响范围：
        Kibana 8.15.0
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://www.elastic.co/cn/downloads/kibana

---

3 FreeBSD 资源管理错误漏洞（CVE-2024-43102）
一、漏洞描述：     
       
        FreeBSD是FreeBSD基金会的一套类Unix操作系统。FreeBSD 存在资源管理错误漏洞，该漏洞源于使用 UMTX_OP_SHM 的 UMTX_SHM_DESTROY 子请求并发删除某些匿名共享内存映射可能会导致表示映射的对象的引用计数减少太多次，从而导致过早释放。
二、风险等级：
        高危
三、影响范围：
        FreeBSD
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://security.freebsd.org/advisories/FreeBSD-SA-24:14.umtx.asc

---

4 Ethyca Fides 远程代码执行漏洞（CVE-2024-45053）
一、漏洞描述：     
       
        Ethyca Fides是Ethyca公司的一个开源隐私工程平台，用于管理运行时环境中数据隐私请求的实现以及代码中隐私法规的执行。Ethyca Fides 2.19.0版本至2.44.0之前版本存在安全漏洞，该漏洞源于没有适当的输入清理或渲染环境限制，从而允许服务器端模板注入。攻击者利用该漏洞可以远程执行代码。
二、风险等级：
        高危
三、影响范围：
        2.19.0 <= Ethyca Fides 2.19.0 < 2.44.0
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://github.com/ethyca/fides/releases/tag/2.44.0