免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表安天实验室观点,因此第三方对以下内 容进行分享、传播等行为,以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与安天实验室一律不予承担。
1 Node.js 拒绝服务漏洞(CVE-2025-23085)
一、漏洞描述:
内存泄漏可能发生在远程对端突然关闭套接字而没有发送 GOAWAY 通知时。此外,如果 nghttp2 检测到无效的头部, 导致对端终止连接,同样会触发该泄漏。此漏洞可能导致内存消耗增加,并在某些条件下可能导致服务拒绝。
二、风险等级:
高
三、影响范围:
Node.js v18.x
Node.js v20.x
Node.js v22x
Node.js v23.x
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://nodejs.org/en/blog/vulne ... 5-security-releases
2 TP-Link TL-WPA8630远程代码执行漏洞(CVE-2024-57357)
一、漏洞描述:
TPLINK TL-WPA 8630 TL-WPA8630(US)_V2_2.0.4 版本构建 20230427 中存在一个问题,允许远程攻击者通过 sub_4256CC 函数执行任意代码,通过注入'devpwd'允许命令注入。
二、风险等级:
高
三、影响范围:
TPLINK TL-WPA 8630 TL-WPA8630(US)_V2_2.0.4
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://www.tp-link.com/us/support/download/tl-wpa8630-kit/
3 GitLab拒绝服务漏洞(CVE-2025-1072)
一、漏洞描述:
在 GitLаb CE/EE 中发现了一个拒绝服务(DоS)问题,影响了从7.14.1 开始到 17.3.7 之前的所有版本,17.4 到 17.4.4 之前的版本,以及 17.5 到 17.5.2 之前的版本。当使用 Fоɡbuɡz 导入器导入恶意制作的内容包括时,可能会发生拒绝服务。
二、风险等级:
高
三、影响范围:
7.14.1 <= GitLab<17.3.7
17.4 < GitLab<17.4.4,
17.5 < GitLab<17.5.2
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://about.gitlab.com/update/
4 JeecgBoot SQL注入漏洞(CVE-2024-57606)
一、漏洞描述:
JeecgBoot3.7.2版本中的/drag/onlDragDatasetHead/getTotalData存在未授权SQL注入漏洞,攻击者可根据此漏洞获取敏感信息。
二、风险等级:
高
三、影响范围:
JeecgBoot v.3.7.2
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://github.com/jeecgboot/JeecgBoot
|
发表于 2025-2-11 08:13
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
显身卡