找回密码
 注册创意安天

漏洞风险提示(20241010)

[复制链接]
发表于 2024-10-10 09:13 | 显示全部楼层 |阅读模式
免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表安天实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与安天实验室一律不予承担。

1 Zimbra远程命令执行漏洞(CVE-2024-45519)
一、漏洞描述:     
        zimbra.jpg
        Zimbra Collaboration(ZCS)是一个用于电子邮件服务器的开源协作平台,也是企业级的开源电子邮件、日历和协作服务器,可提高工作效率和团队协作能力。Zimbra Collaboration (ZCS)多个受影响版本中,当启用postjournal 服务时,由于传递给popen()的用户输入未经清理,导致存在命令注入漏洞,未经身份验证的威胁者可通过发送恶意请求在目标系统中执行命令,从而获取服务器权限。
二、风险等级:
        高危
三、影响范围:
        Zimbra Collaboration (ZCS) < 8.8.15 Patch 46
        Zimbra Collaboration (ZCS) 9 < 9.0.0 Patch 41
        Zimbra Collaboration (ZCS) 10 < 10.0.9
        Zimbra Collaboration (ZCS) 10.1 < 10.1.1

四、修复建议:
        目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
        https://www.zimbra.com/


2 LatePoint Plugin身份验证绕过漏洞(CVE-2024-8943)
一、漏洞描述:     
        LatePoint plugin.jpg
        WordPress的LatePoint插件在5.0.12及以下版本中存在身份验证绕过漏洞。这是因为在预订客户步骤中对提供的用户验证不足。这使得未经身份验证的攻击者能够以网站上任何现有用户的身份登录,例如管理员(如果他们有权访问用户ID)。请注意,只有启用“将WordPress用户用作客户”设置时才可以以WordPress用户身份登录,默认情况下该设置是禁用的。该漏洞在5.0.12版中得到部分修补,在5.0.13版中得到完全修补。
二、风险等级:
        高危
三、影响范围:
        LatePoint <= 5.0.12
四、修复建议:
        目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
        https://www.wordfence.com/threat ... thentication-bypass


3 Microsoft Office远程代码执行漏洞(CVE-2024-43616)
一、漏洞描述:     
        Microsoft Office.jpg
        Microsoft Office是微软公司开发的办公软件套裝,有Microsoft Windows、Mac系列、iOS和Android等不同系統的版本。Microsoft Office存在远程代码执行漏洞,攻击者可利用该漏洞在目标主机上执行代码。
二、风险等级:
        高危
三、影响范围:
        Microsoft Office LTSC 2024 for 64-bit editions
        Microsoft Office LTSC 2024 for 32-bit editions
        Microsoft Office LTSC 2021 for 64-bit editions
        Microsoft Office LTSC 2021 for 32-bit editions
        Microsoft Office 2019 for 64-bit editions
        Microsoft Office 2019 for 32-bit editions
        Microsoft 365 Apps for Enterprise 64-bit Systems
        Microsoft 365 Apps for Enterprise 32-bit Systems

四、修复建议:
        目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
        https://portal.msrc.microsoft.co ... sory/CVE-2024-43616


4 OpenResty拒绝服务漏洞(CVE-2024-39702)
一、漏洞描述:     
        OpenResty.jpg
        OpenResty是美国OpenResty开源的一款基于Nginx与Lua的Web应用服务器。OpenResty 1.19.3.1至1.25.3.1版本的lj_str_hash.c存在拒绝服务漏洞,攻击者可利用该漏洞在代理操作期间通过特制的请求过度消耗资源,进而通过字符串哈希功能实施拒绝服务攻击。
二、风险等级:
        高危
三、影响范围:
        OpenResty OpenResty  1.19.3.1 - 1.25.3.1
四、修复建议:
        目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
        https://openresty.org/en/ann-1025003002.html
您需要登录后才可以回帖 登录 | 注册创意安天

本版积分规则

Archiver|手机版|小黑屋|创意安天 ( 京ICP备09068574,ICP证100468号。 )

GMT+8, 2024-12-27 03:24

Powered by Discuz! X3.5

© 2001-2024 Discuz! Team.

快速回复 返回顶部 返回列表