漏洞风险提示（20241205)

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 Async Http Client 授权问题漏洞（CVE-2024-53990）
一、漏洞描述：     
       
        Async Http Client是AsyncHttpClient开源的适用于Java的异步Http和WebSocket客户端库。Async Http Client 3.0.0版本存在授权问题漏洞，该漏洞源于自动启用并自管理的CookieStore处理机制，在处理HTTP请求时可能会导致用户间Cookie混淆。
二、风险等级：
        高危
三、影响范围：
        Async Http Client 3.0.0
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://github.com/AsyncHttpClie ... GHSA-mfj5-cf8g-g2fv

---

2 python-multipart 边界内容处理不当漏洞（CVE-2024-53981）
一、漏洞描述：     
       
        python-multipart是Marcelo Trylesinski个人开发者的一个Python的流式多部分解析器。python-multipart 0.0.18之前版本存在安全漏洞，该漏洞源于处理表单数据时对边界前后内容的不当处理及过度日志记录，可能导致攻击者通过发送特制请求引发高CPU负载和拒绝服务。
二、风险等级：
        高危
三、影响范围：
        python-multipart < 0.0.18
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://github.com/Kludex/python ... GHSA-59g5-xgcq-4qw3

---

3 Moby 竞争条件漏洞（CVE-2024-36623）
一、漏洞描述：     
       
        Moby是Moby开源的一个开源项目。旨在推动软件的容器化，并帮助生态系统使容器技术主流化。Moby v25.0.3版本存在安全漏洞，该漏洞源于存在竞争条件，从而导致数据损坏或应用程序崩溃。
二、风险等级：
        高危
三、影响范围：
        Moby v25.0.3
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://github.com/moby/moby/releases/tag/v27.3.1

---

4 B&R Industrial Automation mapp安全漏洞（CVE-2024-10490）
一、漏洞描述：     
       
        B&R Industrial Automation mapp是奥地利贝加莱工业自动化（B&R Industrial Automation）公司的一套软件工程平台。未经身份验证的网络攻击者可能会利用B&R mapp Cockpit 6.0之前的OPC UA服务器配置中的“使用备用路径或通道进行身份验证”漏洞、B&R mapp View 6.0之前的版本、B&R mapp Services 6.0之前的版本、B&R mapp Motion 6.0之前的版本和B&R mapp Vision 6.0之前的版本来造成信息泄露。 意外的数据更改或拒绝服务情况。 B&R mapp服务仅在Automation Studio项目中使用mpUserX或mpCodeBox时受到影响。
二、风险等级：
        高危
三、影响范围：
        5.0 <= B&R mapp Cockpit <= 6.0
        5.0 <= B&R mapp View <= 6.0
        5.0 <= B&R mapp Services <= 6.0
        5.0 <= B&R mapp Motion <= 6.0
        5.0 <= B&R mapp Vision <= 6.0
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://www.br-automation.com/fileadmin/SA22P014-90c4aa35.pdf