漏洞风险提示（20240105）

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 Google Chrome 释放后重用漏洞(CVE-2024-0222)
一、漏洞描述：
       
        Google Chrome浏览器是一个由 Google（谷歌） 公司开发的网页浏览器。
        成功的利用此漏洞可导致浏览器崩溃或执行任意代码。
二、风险等级：
        高危
三、影响范围：
        Google Chrome（Windows）<120.0.6099.199
        Google Chrome（Windows）<120.0.6099.200
        Google Chrome（Mac/Linux）<120.0.6099.199
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://chromereleases.googleblog.com/

---

2 PaddlePaddle get_online_pass_interval 命令注入漏洞(CVE-2023-52310)
一、漏洞描述：
       
        飞桨(PaddlePaddle)以百度多年的深度学习技术研究和业务应用为基础，是中国首个自主研发、功能完备、 开源开放的产业级深度学习平台，集深度学习核心训练和推理框架、基础模型库、端到端开发套件和丰富的工具组件于一体。
        PaddlePaddle 在 2.6.0 之前版本中存在命令注入漏洞。这导致能够在操作系统上执行任意命令。
二、风险等级：
        高危
三、影响范围：
        PaddlePaddle < 2.6.0
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://github.com/PaddlePaddle/Paddle

---

3 Apache InLong updateAuditSource 代码注入漏洞(CVE-2023-51784)
一、漏洞描述：
       
        Apache InLong（应龙）是一站式、全场景的海量数据集成框架，同时支持数据接入、数据同步和数据订阅，提供自动、安全、可靠和高性能的数据传输能力，方便业务构建基于流式的数据分析、建模和应用。
        Apache InLong 在 1.5.0-1.9.0 版本中存在代码注入漏洞。由于 updateAuditSource 方法未对用户输入的参数进行有效过滤，攻击者可以利用该方法进行远程代码执行。
二、风险等级：
        高危
三、影响范围：
        1.5.0 <= Apache InLong <= 1.9.0
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://github.com/apache/inlong/releases

---

4 Amazon Ion 安全漏洞(CVE-2024-21634)
一、漏洞描述：
       
        Amazon Ion是美国亚马逊（Amazon）公司的一种类型丰富、自描述的分层数据序列化格式。提供可互换的二进制和文本表示形式。
        Amazon Ion 1.10.5之前版本存在安全漏洞，该漏洞源于Ion Java存在堆栈溢出，可能导致拒绝服务。
二、风险等级：
        高危
三、影响范围：
        Amazon Ion < 1.10.5
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://github.com/amazon-ion/io ... GHSA-264p-99wq-f4j6

---