漏洞风险提示（20240926)

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 Apache Tomcat拒绝服务漏洞（CVE-2024-38286）
一、漏洞描述：     
       
        Apache Tomcat是一个流行的开源Web服务器和Java Servlet容器。Apache Tomcat在某些配置下处理 TLS 握手过程的方式中存在安全问题，可能导致威胁者通过滥用TLS握手过程导致内存过度消耗，从而引发OutOfMemoryError并可能导致拒绝服务。
二、风险等级：
        高危
三、影响范围：
        Apache Tomcat 11.0.0-M1 - 11.0.0-M20
        Apache Tomcat 10.1.0-M1 - 10.1.24
        Apache Tomcat 9.0.13 - 9.0.89
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://tomcat.apache.org/index.html

---

2 Google Chrome安全特性绕过漏洞（CVE-2024-9123）
一、漏洞描述：     
       
        Google Chrome是美国谷歌（Google）公司的一款Web浏览器。129.0.6668.70之前的谷歌浏览器中Skia的整数溢出允许远程攻击者通过一个精心制作的HTML页面执行出界内存写入。
二、风险等级：
        高危
三、影响范围：
        Chrome <= 129.0.6668.70
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://support.google.com/chrome/answer/95346

---

3 Galaxy 跨站脚本漏洞（CVE-2024-42346）
一、漏洞描述：     
       
        Galaxy是Galaxy Project开源的一个 FAIR 数据分析的开源平台。Galaxy 24.1.1之前版本存在跨站脚本漏洞，该漏洞源于当用户使用编辑器可视化编辑恶意数据集时，攻击者可以诱骗用户执行任意javascript代码。
二、风险等级：
        高危
三、影响范围：
        Galaxy <= 24.1.1
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://github.com/galaxyproject/galaxy/releases/tag/v24.1.1

---

4 Plate 跨站脚本漏洞（CVE-2024-47061）
一、漏洞描述：     
       
        Plate是Udecode开源的一个富文本编辑器。Plate存在跨站脚本漏洞，该漏洞源于容易受到跨站脚本(XSS)和信息泄露攻击。
二、风险等级：
        高危
三、影响范围：
        Plate
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://github.com/udecode/plate ... GHSA-73rg-f94j-xvhx