漏洞风险提示（20240123）

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 Apache Tomcat 信息泄露漏洞(CVE-2024-21733)
一、漏洞描述：
       
        Apache Tomcat是一个流行的开源Web服务器和Java代码的Servlet容器。
        在受影响的版本中，Coyote.Http11InputBuffer.fill在抛出CloseNowException异常后没有重置缓冲区的position和limit，导致服务端可能可以获取另一个用户的请求数据。攻击者可以通过构造特定请求，在异常页面中输出其他请求的 body 数据。
二、风险等级：
        高危
三、影响范围：
        9.0.0-M11<=Apache Tomcat<=9.0.43
        8.5.7<=Apache Tomcat<=8.5.63
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://tomcat.apache.org/

---

2 D-Link DIR-859 路径遍历漏洞(CVE-2024-0769)
一、漏洞描述：
       
        D-Link DIR-859是中国友讯（D-Link）公司的一款无线路由器。
        D-Link DIR-859 1.06B01版本存在路径遍历漏洞，该漏洞源于文件/hedwig.cgi的参数service会导致路径遍历。
二、风险等级：
        高危
三、影响范围：
        D-Link DIR-859 1.06B01
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://supportannouncement.us.d ... .aspx?name=SAP10371

---

3 TOTOLINK X2000R 命令注入漏洞(CVE-2024-0579)
一、漏洞描述：
       
        TOTOLINK X2000R是中国吉翁电子（TOTOLINK）公司的一款无线路由器。
        TOTOLINK X2000R 1.0.0-B20221212.1452 版本存在命令注入漏洞，该漏洞源于 /boafrm/formMapDelDevice 文件的 formMapDelDevice 函数的 macstr 参数存在命令注入漏洞。
二、风险等级：
        高危
三、影响范围：
        TOTOLINK X2000R 1.0.0-B20221212.1452
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://www.totolink.net/home/me ... roducts/id/233.html

---

4 jupyterlab-lsp 安全漏洞(CVE-2024-22415)
一、漏洞描述：
       
        jupyterlab-lsp是使用语言服务器协议为 JupyterLab 提供编码帮助的工具。
        jupyterlab-lsp 2.2.1及之前版本存在安全漏洞，该漏洞源于缺少jupyter-lsp服务器扩展终结点的身份验证，导致攻击者可以访问和修改jupyter根目录之外的文件系统。
二、风险等级：
        高危
三、影响范围：
        jupyterlab-lsp <= 2.2.1
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://github.com/jupyter-lsp/j ... 2137c647baaff044e95

---