找回密码
 注册创意安天

漏洞风险提示(20241113)

[复制链接]
发表于 2024-11-13 09:42 | 显示全部楼层 |阅读模式
免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表安天实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与安天实验室一律不予承担。

1 kanboard任意文件读取和删除漏洞(CVE-2024-51747)
一、漏洞描述:     
        kanboard.jpg
        Kanboard是一款专注于看板方法的项目管理软件。经过身份验证的Kanboard管理员可以从服务器读取和删除任意文件。在Kanboard中可查看或下载的文件附件通过其在“project_has_files”SQLite db中的“path”条目解析。因此,可以通过专用功能上传修改后的sqlite.db的攻击者可以通过滥用路径遍历来设置任意文件链接。一旦上传了修改后的数据库并访问了项目页面,就可以触发文件下载,并且可以下载在Kanboard应用程序权限范围内可读的所有文件。
二、风险等级:
        高危
三、影响范围:
        kanboard < 1.2.42
四、修复建议:
        目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
        https://github.com/kanboard/kanboard/releases/tag/v1.2.42  


2 Combodo iTop 跨站请求伪造漏洞(CVE-2024-52002)
一、漏洞描述:     
        Combodo.jpg
        Combodo iTop是法国Combodo公司的一套基于ITIL开发且用于IT环境日常运营的开源Web应用程序。该程序提供事件管理、配置管理和问题管理等功能。Combodo iTop 3.2.0版本之前存在跨站请求伪造漏洞,该漏洞源于多个 URL 端点容易受到跨站请求伪造 (CSRF) 漏洞的影响。
二、风险等级:
        高危
三、影响范围:
        Combodo iTop < 3.2.0
四、修复建议:
        目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
        https://github.com/Combodo/iTop/ ... GHSA-xr4x-xq7v-7gqm


3 trustee 授权问题漏洞(CVE-2024-51997)
一、漏洞描述:     
        confidential-containers-trustee.jpg
        trustee是Confidential Containers开源的一个组件。trustee 0.8.2版本之前存在授权问题漏洞,该漏洞源于由 AS 生成的 ART(**Attestation Results Token**)令牌可能被 MITM 攻击者操纵,但验证者(CoCo Verification Demander 如 KBS)仍可成功验证。
二、风险等级:
        高危
三、影响范围:
        trustee < 0.8.2
四、修复建议:
        目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
        https://github.com/confidential- ... GHSA-7jc6-j236-vvjw


4 Sunniwell HT3300 安全漏洞(CVE-2024-48073)
一、漏洞描述:     
        Sunniwell.jpg
        Sunniwell HT3300是中国朝歌(Sunniwell)公司的一款瘦客户机。Sunniwell HT3300 1.0.0.B022.2之前版本存在安全漏洞,该漏洞源于存在命令注入漏洞,攻击者可以通过命令行参数将命令传递给此程序以获取提升的root权限。
二、风险等级:
        高危
三、影响范围:
        Sunniwell HT3300 < 1.0.0.B022.2  
四、修复建议:
        目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
        https://www.sunniwell.com/  
您需要登录后才可以回帖 登录 | 注册创意安天

本版积分规则

Archiver|手机版|小黑屋|创意安天 ( 京ICP备09068574,ICP证100468号。 )

GMT+8, 2024-11-23 11:45

Powered by Discuz! X3.5

© 2001-2024 Discuz! Team.

快速回复 返回顶部 返回列表