漏洞风险提示（20241008)

发表于 2024-10-8 09:25

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

1 Intelbras InControl权限提升漏洞（CVE-2024-9325）
一、漏洞描述：
Intelbras InControl.jpg

在 Intelbras InControl 2.21.56 中已发现分类为致命的漏洞。此漏洞会影响未知功能文件 C：\Program Files （x86）\Intelbras\Incontrol Cliente\incontrol_webcam\incontrol-service-watchdog.exe。该操作会导致未加引号的搜索路径。可以对本地主机发起攻击。
二、风险等级：
高危
三、影响范围：
2.21.0 <= Intelbras InControl <= 2.21.56
四、修复建议：
目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
https://www.intelbras.com/pt-br/ ... cesso-incontrol-web

2 Authentik 授权问题漏洞（CVE-2024-47070）
一、漏洞描述：

Authentik是Authentik开源的一个开源身份提供应用程序。Authentik存在授权问题漏洞，该漏洞源于允许通过添加带有不可解析IP地址的X-Forwarded-For标头来绕过密码登录，从而可以使用已知登录名或电子邮件地址对任何帐户进行身份验证或授权。
二、风险等级：
高危
三、影响范围：
Authentik
四、修复建议：
目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
https://github.com/goauthentik/a ... /version%2F2024.8.3

3 WordPress plugin Product Enquiry for WooCommerce 代码问题漏洞（CVE-2024-8922）
一、漏洞描述：
WordPress plugin WooCommerce Social Login.jpg

WordPress和WordPress plugin都是WordPress基金会的产品。WordPress是一套使用PHP语言开发的博客平台。该平台支持在PHP和MySQL的服务器上架设个人博客网站。WordPress plugin是一个应用插件。WordPress plugin Product Enquiry for WooCommerce 2.2.33.32版本及之前版本存在代码问题漏洞，该漏洞源于PHP对象注入。
二、风险等级：
高危
三、影响范围：
WordPress plugin Product Enquiry for WooCommerce <= 2.2.33.32
四、修复建议：
目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
https://www.wordfence.com/threat ... 29c6a3ab?source=cve

4 HashiCorp Vault Enterprise和HashiCorp Vault Community Edition 认证漏洞（CVE-2024-7594）
一、漏洞描述：

HashiCorp Vault Enterprise和HashiCorp Vault Community Edition都是美国HashiCorp公司的产品。HashiCorp Vault Enterprise是一个企业信息归档平台。HashiCorp Vault Community Edition是一款密钥管理引擎。用来集中存储集群运行过程中所需要的秘密信息。HashiCorp Vault Enterprise和HashiCorp Vault Community Edition存在安全漏洞，该漏洞源于SSH机密引擎默认不限制有效主体，则授权用户向Vault的SSH机密引擎请求的SSH证书可用于以主机上的任何用户身份进行身份验证。
二、风险等级：
高危
三、影响范围：
HashiCorp Vault Enterprise
HashiCorp Vault Community Edition
四、修复建议：
目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
https://discuss.hashicorp.com/t/ ... ls-by-default/70251

		自动登录	找回密码
密码			注册创意安天