免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表安天实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与安天实验室一律不予承担。
1 Apache HertzBeat SnakeYaml反序列化漏洞(CVE-2024-42323)
一、漏洞描述:
Apache HertzBeat (incubating)是一个易于使用的开源实时监控系统,具有无代理(Agentless)、高性能集群、兼容prometheus、提供强大的自定义监控和状态页面构建功能。Apache HertzBeat 1.6.0 之前版本中,由于使用了存在漏洞的 SnakeYaml解析库,可能导致经过身份验证的威胁者通过恶意YAML数据/配置文件(被HertzBeat用于定义监控类型或其他关键配置)触发反序列化漏洞,从而导致远程代码执行。
二、风险等级:
高危
三、影响范围:
Apache HertzBeat < 1.6.0
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://github.com/apache/hertzbeat/releases
2 pgAdmin信息泄露漏洞(CVE-2024-9014)
一、漏洞描述:
pgAdmin是PostgreSQL的官方图形界面管理工具,以便于管理和维护PostgreSQL数据库。pgAdmin 8.11及之前版本的OAuth2身份验证实现中存在漏洞,可能导致OAuth2 客户端ID和密钥在web浏览器中被暴露或泄露,威胁者可利用该漏洞获取敏感信息并未授权访问用户数据。
二、风险等级:
高危
三、影响范围:
pgAdmin 4 <= v8.11
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://www.pgadmin.org/download/
3 TheGreenBow 多款产品代码执行漏洞(CVE-2024-45750)
一、漏洞描述:
TheGreenBow Windows标准VPN客户端6.87.108(及更早版本)、Windows企业VPN客户端6.87.109(及更早版本)、Windows企业VPN客户端7.5.007(及更早版本)、Android VPN客户端6.4.5(及更早版本)VPN客户端Linux 3.4(及更早版本)、VPN客户端MacOS 2.4.10(及更早版本)中存在一个问题,允许远程攻击者通过IKEv2身份验证阶段执行任意代码,它接受格式错误的ECDSA签名并建立隧道。
二、风险等级:
高危
三、影响范围:
Windows Standard VPN Client <= 6.87.108
Windows Enterprise VPN Client <= 6.87.109
Windows Enterprise VPN Client <= 7.5.007
Android VPN Client <= 6.4.5
VPN Client Linux <= 3.4
VPN Client MacOS <= 2.4.10
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://www.thegreenbow.com/en/s ... rts/#deeplink-17024
4 Google Mesop 未经授权访问漏洞(CVE-2024-45601)
一、漏洞描述:
Google Mesop是美国谷歌(Google)公司的一个基于 Python 的 UI 框架。Google Mesop 0.9.0版本至0.12.4之前版本存在安全漏洞,该漏洞源于输入验证不足,可能允许未经授权访问服务器上的文件。
二、风险等级:
高危
三、影响范围:
0.9.0 <= Google Mesop < 0.12.4
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://github.com/google/mesop/releases/tag/v0.12.4 |
发表于 2024-9-27 09:22
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
显身卡