免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表安天实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与安天实验室一律不予承担。
1 GitLab权限绕过漏洞(CVE-2024-9164)
一、漏洞描述:
GitLab是一个用于仓库管理系统的开源项目,其使用Git作为代码管理工具,可通过Web界面访问公开或私人项目。威胁者可利用该漏洞在任意分支上运行GitLab的CI/CD管道,成功利用可能导致执行未授权代码、数据泄露等。
二、风险等级:
高危
三、影响范围:
12.5 <= GitLab EE < 17.2.9
17.3 <= GitLab EE < 17.3.5
17.4 <= GitLab EE < 17.4.2
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://about.gitlab.com/
2 Mozilla Firefox UAF代码执行漏洞(CVE-2024-9680)
一、漏洞描述:
Firefox浏览器(中文俗称为“火狐”),是一款由Mozilla基金会与开放源代码社区共同开发的免费开源跨平台浏览器,支持桌面版(Windows、Mac及Linux平台)、Android 版、iOS版等多种版本。Animation timelines(动画时间线/轴)是Firefox浏览器Web Animations API中的一个重要机制,它允许开发者精确地控制和同步网页上的动画。Mozilla Firefox和Firefox ESR在Animation timelines中存在UAF(Use-After-Free)漏洞,威胁者可能通过诱导用户访包含特定脚本或代码的恶意网页来利用该漏洞,成功利用可能导致浏览器崩溃、数据泄露或代码执行。
二、风险等级:
高危
三、影响范围:
Firefox < 131.0.2
Firefox ESR < 115.16.1
Firefox ESR < 128.3.1
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
[url]https://www.firefox.com.cn/ [/url]
3 Mecha CMS 目录遍历漏洞(CVE-2024-46446)
一、漏洞描述:
Mecha CMS是Mecha开源的一个面向极简主义者的平面文件内容管理系统。Mecha CMS 3.0.0版本存在安全漏洞,该漏洞源于容易受到目录遍历攻击。攻击者可以构建绕过用户身份检查的cookie和URI,然后通过POST方法传递参数,从而导致删除任意文件或接管网站。
二、风险等级:
高危
三、影响范围:
Mecha CMS 3.0.0
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://github.com/mecha-cms/mecha/releases/tag/v3.1.0
4 Qualcomm Chipsets 输入验证漏洞(CVE-2024-33066)
一、漏洞描述:
Qualcomm Chipsets是美国高通(Qualcomm)公司的一系列芯片组。Qualcomm Chipsets存在安全漏洞,该漏洞源于 WLAN 资源管理器中包含一个输入验证不正确。
二、风险等级:
高危
三、影响范围:
Qualcomm Chipsets
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://docs.qualcomm.com/produc ... -2024-bulletin.html |
发表于 2024-10-12 09:05
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
显身卡