漏洞风险提示（20241223)

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 WordPress plugin Travel Booking SQL注入漏洞（CVE-2024-11912）
一、漏洞描述：     
       
        WordPress和WordPress plugin都是WordPress基金会的产品。WordPress是一套使用PHP语言开发的博客平台。该平台支持在PHP和MySQL的服务器上架设个人博客网站。WordPress plugin是一个应用插件。WordPress plugin Travel Booking 3.1.6版本及之前版本存在SQL注入漏洞，该漏洞源于对用户提供的参数转义不足以及对现有 SQL 查询准备不足。攻击者利用该漏洞可以从数据库中提取敏感信息。
二、风险等级：
        高危
三、影响范围：
        WordPress plugin Travel Booking <= 3.1.6  
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://www.wordfence.com/threat ... 051e3172?source=cve

---

2 Envoy Proxy 安全漏洞（CVE-2024-53271）
一、漏洞描述：     
       
        Envoy Proxy是Envoy Proxy开源的一个云原生高性能边缘/中间/服务代理。Envoy Proxy存在安全漏洞，该漏洞源于无法正确处理http响应，可能导致联网设备中的下游故障。
二、风险等级：
        高危
三、影响范围：
        Envoy Proxy  
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://github.com/envoyproxy/en ... GHSA-rmm5-h2wv-mg4f

---

3 Combodo iTop 跨站脚本漏洞（CVE-2024-54139）
一、漏洞描述：     
       
        Combodo iTop是法国Combodo公司的一套基于ITIL开发且用于IT环境日常运营的开源Web应用程序。该程序提供事件管理、配置管理和问题管理等功能。Combodo iTop 2.7.11、3.1.2和3.2.0之前版本存在跨站脚本漏洞，该漏洞源于容易受到跨站脚本攻击，可导致对_table_id参数进行跨站请求伪造。
二、风险等级：
        高危
三、影响范围：
        Combodo iTop 2.7.11
        Combodo iTop 3.1.2
        Combodo iTop < 3.2.0
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://github.com/Combodo/iTop/ ... GHSA-jmv2-wfh5-h5wg

---

4 Laravel Pulse 远程代码执行漏洞（CVE-2024-55661）
一、漏洞描述：     
       
        Laravel Pulse是The Laravel Framework开源的一个适用于 Laravel 应用程序的实时应用程序性能监控工具和仪表板。Laravel Pulse 1.3.1之前版本存在安全漏洞，该漏洞源于容易受到远程代码执行攻击，可通过Livewire组件访问并被利用来调用应用程序内的任意可调用对象。
二、风险等级：
        高危
三、影响范围：
        Laravel Pulse < 1.3.1
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://github.com/laravel/pulse ... GHSA-8vwh-pr89-4mw2