找回密码
 注册创意安天

漏洞风险提示(20240123)

[复制链接]
发表于 2024-1-23 09:17 | 显示全部楼层 |阅读模式
免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表安天实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与安天实验室一律不予承担。

1 Apache Tomcat 信息泄露漏洞(CVE-2024-21733)
一、漏洞描述:
        Apache Tomcat.jpg
        Apache Tomcat是一个流行的开源Web服务器和Java代码的Servlet容器。
        在受影响的版本中,Coyote.Http11InputBuffer.fill在抛出CloseNowException异常后没有重置缓冲区的position和limit,导致服务端可能可以获取另一个用户的请求数据。攻击者可以通过构造特定请求,在异常页面中输出其他请求的 body 数据。

二、风险等级:
        高危
三、影响范围:
        9.0.0-M11<=Apache Tomcat<=9.0.43
        8.5.7<=Apache Tomcat<=8.5.63

四、修复建议:
        目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
        https://tomcat.apache.org/


2 D-Link DIR-859 路径遍历漏洞(CVE-2024-0769)
一、漏洞描述:
        D-Link.jpg
        D-Link DIR-859是中国友讯(D-Link)公司的一款无线路由器。
        D-Link DIR-859 1.06B01版本存在路径遍历漏洞,该漏洞源于文件/hedwig.cgi的参数service会导致路径遍历。

二、风险等级:
        高危
三、影响范围:
        D-Link DIR-859 1.06B01
四、修复建议:
        目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
        https://supportannouncement.us.d ... .aspx?name=SAP10371


3 TOTOLINK X2000R 命令注入漏洞(CVE-2024-0579)
一、漏洞描述:
        TOTOLINK.jpg
        TOTOLINK X2000R是中国吉翁电子(TOTOLINK)公司的一款无线路由器。
        TOTOLINK X2000R 1.0.0-B20221212.1452 版本存在命令注入漏洞,该漏洞源于 /boafrm/formMapDelDevice 文件的 formMapDelDevice 函数的 macstr 参数存在命令注入漏洞。

二、风险等级:
        高危
三、影响范围:
        TOTOLINK X2000R 1.0.0-B20221212.1452
四、修复建议:
        目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
        https://www.totolink.net/home/me ... roducts/id/233.html


4 jupyterlab-lsp 安全漏洞(CVE-2024-22415)
一、漏洞描述:
        jupyterlab.jpg
        jupyterlab-lsp是使用语言服务器协议为 JupyterLab 提供编码帮助的工具。
        jupyterlab-lsp 2.2.1及之前版本存在安全漏洞,该漏洞源于缺少jupyter-lsp服务器扩展终结点的身份验证,导致攻击者可以访问和修改jupyter根目录之外的文件系统。

二、风险等级:
        高危
三、影响范围:
        jupyterlab-lsp <= 2.2.1
四、修复建议:
        目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
        https://github.com/jupyter-lsp/j ... 2137c647baaff044e95

您需要登录后才可以回帖 登录 | 注册创意安天

本版积分规则

Archiver|手机版|小黑屋|创意安天 ( 京ICP备09068574,ICP证100468号。 )

GMT+8, 2024-12-26 20:51

Powered by Discuz! X3.5

© 2001-2024 Discuz! Team.

快速回复 返回顶部 返回列表