漏洞风险提示（20241024)

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 RDS Light 输入验证漏洞（CVE-2024-48918）
一、漏洞描述：     
       
        RDS Light是RDS ai开源的一个人工智能框架。RDS Light 1.1.0之前版本存在安全漏洞，该漏洞源于缺乏输入验证。攻击者利用该漏洞可以注入恶意命令、破坏存储的数据或影响API调用。
二、风险等级：
        高危
三、影响范围：
        RDS Light < 1.1.0
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://rdsai.org/

---

2 SICK多款产品 安全漏洞（CVE-2024-10025）
一、漏洞描述：     
       
        SICK CLV6xx等都是德国西克（SICK）公司的产品。SICK CLV6xx是一系列固定式条形码扫描器。SICK Lector6xx是一系列读码器。SICK RFx6xx是一系列无线射频识别读写器。SICK多款产品存在安全漏洞，该漏洞源于允许攻击者读取以纯文本形式存储在代码中的默认密码。以下产品受到影响：SICK CLV6xx、SICK Lector6xx和SICK RFx6xx。
二、风险等级：
        高危
三、影响范围：
        SICK CLV6xx
        SICK Lector6xx
        SICK RFx6xx
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://www.sick.com/.well-known ... 4/sca-2024-0003.pdf

---

3 Amazon.ApplicationLoadBalancer.Identity.AspNetCore 代码问题漏洞（CVE-2024-10125）
一、漏洞描述：     
       
        Amazon.ApplicationLoadBalancer.Identity.AspNetCore是Amazon Web Services开源的一个负载均衡器。Amazon.ApplicationLoadBalancer.Identity.AspNetCore存在安全漏洞，该漏洞源于在JWT处理代码中无法验证JWT发行者和签名者身份，可能会允许不受信任的实体对JWT进行签名。
二、风险等级：
        高危
三、影响范围：
        Amazon.ApplicationLoadBalancer.Identity.AspNetCore
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://aws.amazon.com/security/security-bulletins/AWS-2024-012/

---

4 MXsecurity 信任管理问题漏洞（CVE-2024-4740）
一、漏洞描述：     
       
        MOXA MXsecurity是中国摩莎（MOXA）公司的一个管理平台。可提供集中的可见性和安全管理，以轻松监视和识别网络威胁并防止安全错误配置，从而创建强大的威胁防御。MXsecurity v1.1.0及之前版本存在信任管理问题漏洞，该漏洞源于使用了硬编码凭据，可能允许攻击者篡改敏感数据。
二、风险等级：
        高危
三、影响范围：
        Mxsecurity <= v1.1.0   
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://www.moxa.com/en/support/ ... ple-vulnerabilities