漏洞风险提示（20241115)

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 Laravel注入漏洞（CVE-2024-52301）
一、漏洞描述：     
       
        Laravel是一个基于PHP的开源Web应用框架，它提供了一系列工具和特性，旨在简化Web应用程序的开发过程。Laravel框架受影响版本中，由于框架在非CLI模式下处理请求时未正确隔离PHP的argv参数，当register_argc_argv PHP指令被设置为on时，攻击者可以通过向任意URL发送附带特制查询字符串的请求，来更改框架在请求处理时使用的环境配置，成功利用该漏洞可能导致敏感信息泄露、权限提升、应用崩溃或配置被篡改等。
二、风险等级：
        高危
三、影响范围：
        Laravel < 6.20.45
        7.0.0 <= Laravel < 7.30.7
        8.0.0 <= Laravel < 8.83.28
        9.0.0 <= Laravel < 9.52.17
        10.0.0 <= Laravel < 10.48.23
        11.0.0 <= Laravel < 11.31.0
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://github.com/laravel/framework/tags   

---

2 Adobe InDesign 缓冲区溢出漏洞（CVE-2024-49509）
一、漏洞描述：     
       
        Adobe InDesign是美国奥多比（Adobe）公司的一套排版编辑应用程序。Adobe InDesign存在安全漏洞，该漏洞源于包含一个基于堆的缓冲区溢出漏洞。攻击者利用该漏洞可以导致在当前用户的上下文中执行任意代码。
二、风险等级：
        高危
三、影响范围：
        Adobe InDesign
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://helpx.adobe.com/security/products/indesign/apsb24-88.html

---

3 Microsoft Visual Studio Code 远程代码执行漏洞（CVE-2024-49050）
一、漏洞描述：     
       
        Microsoft Visual Studio Code是美国微软（Microsoft）公司的一款开源的代码编辑器。Microsoft Visual Studio Code存在安全漏洞。攻击者利用该漏洞可以远程执行代码。
二、风险等级：
        高危
三、影响范围：
        Microsoft Visual Studio Code
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://msrc.microsoft.com/updat ... lity/CVE-2024-49050

---

4 WordPress plugin L Squared Hub WP SQL注入漏洞（CVE-2024-51820）
一、漏洞描述：     
       
        WordPress和WordPress plugin都是WordPress基金会的产品。WordPress是一套使用PHP语言开发的博客平台。该平台支持在PHP和MySQL的服务器上架设个人博客网站。WordPress plugin是一个应用插件。WordPress plugin L Squared Hub WP 1.0版本及之前版本存在SQL注入漏洞，该漏洞源于SQL 命令中使用的特殊元素的不当中和。导致SQL注入漏洞。
二、风险等级：
        高危
三、影响范围：
        WordPress plugin L Squared Hub WP < 1.0  
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://wordpress.org/plugins/l-squared-hub-wp-virtual-device/