免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表安天实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与安天实验室一律不予承担。
1 Apache ZooKeeper身份验证绕过漏洞(CVE-2024-51504)
一、漏洞描述:
Apache ZooKeeper是一个分布式协调服务,主要用于管理大型分布式系统中的数据和状态,它提供了高效的分布式锁、配置管理、命名服务和集群管理功能,通过简单的接口支持分布式应用实现一致性和协调。ZooKeeper通常用于保障分布式应用的高可用性和数据一致性,适用于如Hadoop、Kafka、HBase等系统,帮助协调各个节点的状态和操作,避免冲突和数据不一致问题。Apache ZooKeeper 3.9.0 - 3.9.3之前版本中存在身份验证绕过漏洞,当ZooKeeper Admin Server使用基于IP的身份验证(IPAuthenticationProvider)时,由于默认配置下使用了可被轻易伪造的HTTP请求头(如X-Forwarded-For)来检测客户端IP地址,攻击者可通过伪造请求头中的IP地址来绕过身份验证,进而实现未授权访问管理服务器功能并任意执行管理服务器命令(例如快照和恢复),从而可能导致信息泄露或服务可用性问题。
二、风险等级:
高危
三、影响范围:
3.9.0 <= Apache ZooKeeper < 3.9.3
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://zookeeper.apache.org/releases.html
2 WordPress plugin WP JobSearch 代码问题漏洞(CVE-2024-8615)
一、漏洞描述:
WordPress和WordPress plugin都是WordPress基金会的产品。WordPress是一套使用PHP语言开发的博客平台。该平台支持在PHP和MySQL的服务器上架设个人博客网站。WordPress plugin是一个应用插件。WordPress plugin WP JobSearch 2.6.7及之前版本存在代码问题漏洞,该漏洞源于jobsearch_location_load_excel_file_callback()函数中缺少文件类型验证,从而容易受到任意文件上传的攻击。
二、风险等级:
高危
三、影响范围:
WordPress plugin WP JobSearch <= 2.6.7
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://www.wordfence.com/threat ... f3926914?source=cve
3 JeecgBoot SQL 注入漏洞(CVE-2024-48307)
一、漏洞描述:
JeecgBoot是中国国炬(Jeecg)公司的一个适用于企业 Web 应用程序的 Java 低代码平台。JeecgBoot v3.7.1版本存在安全漏洞,该漏洞源于通过组件 /onlDragDatasetHead/getTotalData 发现包含 SQL 注入漏洞。
二、风险等级:
高危
三、影响范围:
JeecgBoot v3.7.1
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://www.jeecg.com/
4 Ethereum 远程代码执行漏洞(CVE-2024-51427)
一、漏洞描述:
Ethereum是Ethereum组织的一个公共加密货币平台。Ethereum v.1.12.2版本存在安全漏洞,该漏洞源于允许远程攻击者通过PepeGxng smart contract mint函数执行任意代码。
二、风险等级:
高危
三、影响范围:
Ethereum v.1.12.2
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://github.com/ethereum/go-ethereum/releases/tag/v1.14.11 |
发表于 2024-11-11 09:16
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
显身卡