漏洞风险提示（20250217)

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内 容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 VMware Aria Operations本地权限提升漏洞（CVE-2024-38831）
一、漏洞描述：
        
        VMware Aria Operations是美国威睿（VMware）公司的一个统一的、人工智能驱动的自动驾驶IT运营管理平台，适用于私有云、混合云和多云环境。VMware Aria Operations存在本地权限提升漏洞，攻击者可利用该漏洞向属性文件插入恶意命令，进而提升至root权限。
二、风险等级：
        高
三、影响范围：
        VMware Aria Operations
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://support.broadcom.com/web ... yAdvisories/0/25199

---

2 Red Hat Keycloak会话固定漏洞（CVE-2024-7341）
一、漏洞描述：
        
        Red Hat Keycloak是美国红帽（Red Hat）公司的一套为现代应用和服务提供身份验证和管理功能的软件。Red Hat Keycloak存在会话固定漏洞，该漏洞源于SAML适配器中发现了会话固定问题，即使配置了turnOffChangeSessionIdOnLogin选项，会话ID和JSESSIONID cookie在登录时也不会更改，攻击者可以利用该漏洞在身份验证之前劫持当前会话，并触发会话固定攻击。
二、风险等级：
        高
三、影响范围：
        Red Hat Keycloak
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://access.redhat.com/security/cve/CVE-2024-7341

---

3 D-Link DI-8300命令注入漏洞（CVE-2024-44410）
一、漏洞描述：
        
        D-Link DI-8300是中国友讯（D-Link）公司的一款专为中小型网络环境设计的无线宽带路由器。D-Link DI-8300 16.07.26A1版本存在命令注入漏洞，攻击者可以利用该漏洞通过upgrade_filter_asp函数实现命令注入。
二、风险等级：
        高
三、影响范围：
        D-Link DI-8300 16.07.26A1
四、修复建议：
        厂商尚未提供漏洞修复方案，请关注厂商主页更新：
        http://www.dlink.com.cn/

---

4 AngularJS输入验证错误漏洞（CVE-2024-8373）
一、漏洞描述：
        
        AngularJS是AngularJS开源的一款基于TypeScript的开源Web应用程序框架。AngularJS存在输入验证错误漏洞，该漏洞源于系统对source HTML元素中的srcset属性值处理不当，攻击者可以利用该漏洞绕过常见的图像源限制，进而实现内容篡改。
二、风险等级：
        高
三、影响范围：
        angularJS angularJS
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://zh.herodevs.com/support/nes-angularjs

---