漏洞风险提示（20250225)

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内 容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 JEPaaS SQL注入漏洞（CVE-2024-51165）
一、漏洞描述：
        
        JEPaaS是中国凯特伟业（JEPaaS）公司的一款快速开发平台。JEPaaS 7.2.8版本存在SQL注入漏洞，攻击者利用该漏洞可以检索存储在数据库中的所有信息。
二、风险等级：
        高
三、影响范围：
        JEPaaS 7.2.8
四、修复建议：
        厂商尚未提供漏洞修复方案，请关注厂商主页更新：
        https://gitee.com/ketr/jepaas-release

---

2 Ivanti CSA命令注入漏洞（CVE-2024-11772）
一、漏洞描述：
        
        Ivanti CSA是美国Ivanti公司的一款通过Internet提供安全通信和功能的Internet设备。Ivanti CSA 5.0.3之前版本存在命令注入漏洞，攻击者利用该漏洞可以远程执行代码。
二、风险等级：
        高
三、影响范围：
        Ivanti CSA < 5.0.3
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://forums.ivanti.com/s/arti ... 1772-CVE-2024-11773

---

3 Silverpeas SQL注入漏洞（CVE-2024-48814）
一、漏洞描述：
        
        Silverpeas是Silverpeas开源的一套开源的业务协作平台，包括项目管理、博客、论坛和文档管理等应用程序。Silverpeas 6.4.1版本存在SQL注入漏洞，攻击者可利用该漏洞通过findbywhereclause函数的ViewType参数获取敏感信息。
二、风险等级：
        高
三、影响范围：
        Silverpeas 6.4.1
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://gist.github.com/SubZ3r0- ... 810adb221cae3d08fc8

---

4 GoCD XML外部实体注入漏洞（CVE-2024-56324）
一、漏洞描述：
        
        GoCD是GoCD开源的一个持续交付服务器。GoCD 24.4.0之前版本存在XML外部实体注入漏洞，具有组管理员权限的攻击者可利用该漏洞通过编辑组的原始XML配置实施注入攻击，进而导致信息泄露。
二、风险等级：
        高
三、影响范围：
        GoCD < 24.4.0
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://github.com/gocd/gocd/com ... 72f50658e05c533f733

---