漏洞风险提示（20241015)

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 Adobe Commerce 不正确的身份验证漏洞（CVE-2024-45115）
一、漏洞描述：     
       
        Adobe Commerce是美国奥多比（Adobe）公司的一种面向商家和品牌的全球领先的数字商务解决方案。Adobe Commerce存在安全漏洞，该漏洞源于包含一个不正确的身份验证漏洞。该漏洞可能导致权限提升。
二、风险等级：
        高危
三、影响范围：
        Adobe Commerce
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://helpx.adobe.com/security/products/magento/apsb24-73.html

---

2 JSONPath Plus 远程代码执行漏洞（CVE-2024-21534）
一、漏洞描述：     
       
        JSONPath Plus是JSONPath Plus开源的一个库。JSONPath Plus 10.0.0之前版本存在安全漏洞，该漏洞源于输入清理不当，容易受到远程代码执行(RCE)攻击，攻击者可以利用该漏洞在系统上执行任意代码。
二、风险等级：
        高危
三、影响范围：
        JSONPath Plus < 10.0.0
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://github.com/JSONPath-Plus ... 790bf7e2d7339d4ccd3

---

3 MediaTek 芯片 越界写入漏洞（CVE-2024-20101）
一、漏洞描述：     
       
        MediaTek 芯片是中国联发科（MediaTek）公司的MediaTek 的多款芯片。MediaTek 芯片存在安全漏洞，该漏洞源于 wlan 驱动输入验证不正确，可能存在越界写入。
二、风险等级：
        高危
三、影响范围：
        MediaTek
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://corp.mediatek.com/product-security-bulletin/October-2024

---

4 Cisco Nexus Dashboard 安全漏洞（CVE-2024-20432）
一、漏洞描述：     
       
        Cisco Nexus Dashboard是美国思科（Cisco）公司的一个单一控制台。能够简化数据中心网络的运营和管理。Cisco Nexus Dashboard存在安全漏洞，该漏洞源于用户授权不当和命令参数验证不足。允许经过身份验证的低权限远程攻击者对受影响的设备执行命令注入攻击。
二、风险等级：
        高危
三、影响范围：
        Cisco Nexus Dashboard
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://sec.cloudapps.cisco.com/ ... dfc-cmdinj-UvYZrKfr