漏洞风险提示（20241009)

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 Silicon Labs Gecko OS 远程代码执行漏洞（CVE-2024-23938）
一、漏洞描述：     
       
        Silicon Labs Gecko OS是美国芯科科技（Silicon Labs）公司的一套专为物联网 (IoT) 设备设计的操作系统。它为 Silicon Labs 的硬件平台提供了安全的有线和无线网络连接能力，并且具有集成的固件更新和云连接支持。Silicon Labs Gecko OS存在安全漏洞，该漏洞源于存在基于堆栈的缓冲区溢出远程代码执行漏洞，允许网络相邻的攻击者在受影响的安装上执行任意代码。
二、风险等级：
        高危
三、影响范围：
        Silicon Labs Gecko OS
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://community.silabs.com/a45Vm0000000Atp

---

2 LocalAI 代码注入漏洞（CVE-2024-6983）
一、漏洞描述：     
       
        LocalAI是Ettore Di Giacinto个人开发者的一个免费的、开源的 OpenAI 替代方案。LocalAI 2.17.1版本存在代码注入漏洞，该漏洞源于localai后端不仅接收来自配置文件的输入，还接收来自其他输入的输入，从而允许攻击者上传二进制文件并执行恶意代码。
二、风险等级：
        高危
三、影响范围：
        LocalAI 2.17.1
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://github.com/mudler/LocalAI/releases/tag/v2.21.1

---

3 NASA CryptoLib 越界读取漏洞（CVE-2024-44910）
一、漏洞描述：     
       
        NASA CryptoLib是美国国家航空航天局（NASA）的一个高度优化的加密库，旨在为软件开发者提供一套简洁易用的密码学工具集。NASA CryptoLib 1.3.0版本存在安全漏洞，该漏洞源于包含通过AOS子系统(crypto_aos.c)的越界读取漏洞。
二、风险等级：
        高危
三、影响范围：
        NASA CryptoLib 1.3.0
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://github.com/nasa/CryptoLib/releases/tag/v1.3.1

---

4 Western Digital My Cloud 缓冲区溢出漏洞（CVE-2024-22170）
一、漏洞描述：     
       
        Western Digital My Cloud是美国西部数据（Western Digital）公司的一款个人云存储设备。Western Digital My Cloud 5.29.102版本之前存在安全漏洞，该漏洞源于 ddns-start 在 Linux 上的内存缓冲区漏洞范围内存在对操作的不当限制，从而导致缓冲区溢出。
二、风险等级：
        高危
三、影响范围：
        Western Digital My Cloud < 5.29.102
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://www.westerndigital.com/s ... 5-firmware-5-29-102