漏洞风险提示（20240124）

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 Spring Framework 拒绝服务漏洞 (CVE-2024-22233)
一、漏洞描述：
       
        Spring Framework是一个提供了现代基于Java的企业应用程序的全面编程和配置模型的应用程序框架，它可以在任何类型的部署平台上运行。
        Spring Framework的一个关键元素是在应用程序层面提供基础设施支持：Spring专注于企业应用程序的“管道”部分，让开发团队可以专注于应用程序逻辑。 在Spring Framework版本6.0.15和6.1.2中，用户可以提供经过特殊设计的HTTP请求，可能导致拒绝服务（DoS）条件。
二、风险等级：
        高危
三、影响范围：
        Spring Framework  6.1.2
        Spring Framework  6.0.15
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://spring.io/security/cve-2024-22233/

---

2 Nautobot 跨站脚本漏洞(CVE-2024-23345)
一、漏洞描述：
       
        Nautobot是Nautobot个人开发者的一个网络自动化平台。
        Nautobot 1.6.10之前的1.x版本和2.1.2之前的2.x版本存在跨站脚本漏洞，该漏洞源于输入清理不充分，容易受到恶意制作数据的跨站脚本(XSS)攻击。
二、风险等级：
        高危
三、影响范围：
        Nautobot <= 1.6.10
        Nautobot <= 2.1.2
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://github.com/nautobot/nautobot/releases/tag/v2.1.2

---

3 node-server 路径遍历漏洞(CVE-2024-23340)
一、漏洞描述：
       
        node-server是一个适配器，允许用户在 Node.js 上运行 Hono 应用程序。
        node-server 1.3.0版本至1.4.1之前版本存在路径遍历漏洞，该漏洞源于无法解析URL中的双点。
二、风险等级：
        高危
三、影响范围：
        1.3.0 < node-server < 1.4.1
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://github.com/honojs/node-server/releases/tag/v1.4.1

---

4 SWFTools 缓冲区溢出漏洞(CVE-2024-22912)
一、漏洞描述：
       
        SWFTools是Matthias Kramm个人开发者的一组用于处理 Adobe Flash 文件（SWF 文件）的实用程序。
        SWFTools 0.9.2 版本存在安全漏洞，该漏洞源于 swf5compiler.flex:327 页面的 countline 方法存在全局缓冲区溢出漏洞。
二、风险等级：
        高危
三、影响范围：
        SWFTools 0.9.2
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://github.com/matthiaskramm/swftools/issues/212

---