漏洞风险提示（20240219）

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 Zoom未授权漏洞(CVE-2024-24691)
一、漏洞描述：
       
        由于不正确的输入验证缺陷所致，该缺陷可能允许未经身份验证的攻击者通过网络对目标系统进行权限升级。
二、风险等级：
        高危
三、影响范围：
        Zoom Desktop Client < 5.16.5
        Zoom VDI < 5.16.10
        Zoom Rooms < 5.17.0
        Zoom Meeting SDK < 5.16.5
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://zoom.us/download0

---

2 FortiOS远程代码执行漏洞(CVE-2024-21762)
一、漏洞描述：
       
        是由于 FortiOS SSL-VPN 中的参数检查不正确所致。当未经身份验证的远程攻击者通过构建的 HTTP 请求利用时。
        可以在缓冲区边界之外复制减少的字节数，从而导致内存损坏和流重定向。这允许执行任意代码或命令。
二、风险等级：
        高危
三、影响范围：
        FortiOS 6.0 所有版本
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://www.fortiguard.com/psirt/FG-IR-24-015

---

3 FortiOS未授权漏洞(CVE-2024-23113)
一、漏洞描述：
       
        是由 FortiOS fgfmd 守护程序中存在的外部控制格式字符串漏洞所致，该漏洞可能允许未经身份验证的远程攻击者通过特制请求执行任意代码或命令。
二、风险等级：
        高危
三、影响范围：
        FortiOS 7.4.0-7.4.2
        FortiOS 7.2.0-7.2.6
        FortiOS 7.0.0-7.0.13
        FortiOS 6.4.0-6.4.14
        FortiOS6.2.0-6.2.15
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://www.fortiguard.com/psirt/FG-IR-24-029

---

4 Microsoft Azure DevOps Server安全漏洞(CVE-2024-20667)
一、漏洞描述：
       
        Microsoft Azure DevOps Server是美国微软（Microsoft）公司的一套软件开发协作工具。该产品包括共享代码、工作跟踪和软件发布等功能。Microsoft Azure DevOps Server 存在安全漏洞。
二、风险等级：
        高危
三、影响范围：
        Azure DevOps Server 2022.1
        Azure DevOps Server 2019.1.2
        Azure DevOps Server 2020.1.2
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://msrc.microsoft.com/updat ... lity/CVE-2024-20667

---