免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表安天实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与安天实验室一律不予承担。
1 Apache OFBiz 路径遍历漏洞(CVE-2024-25065)
一、漏洞描述:
Apache OFBiz是一个著名的电子商务平台,提供了创建基于最新 J2EE/ XML规范和技术标准,构建大中型企业级、跨平台、跨数据库、跨应用服务器的多层、分布式电子商务类WEB应用系统的框架。
Apache OFBiz版本18.12.12之前,由于在LoginWorker::hasBasePermission中未充分验证用户输入的 contextPath导致存在路径遍历漏洞,威胁者可利用该漏洞绕过身份验证机制,导致未授权访问。
二、风险等级:
高危
三、影响范围:
Apache OFBiz < 18.12.12
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://ofbiz.apache.org/download.html
2 Apache OFBiz 文件包含漏洞(CVE-2024-23946)
一、漏洞描述:
Apache OFBiz是一个著名的电子商务平台,提供了创建基于最新 J2EE/ XML规范和技术标准,构建大中型企业级、跨平台、跨数据库、跨应用服务器的多层、分布式电子商务类WEB应用系统的框架。
可能导致文件包含,成功利用该漏洞可能导致信息泄露和未授权访问。
二、风险等级:
高危
三、影响范围:
Apache OFBiz < 18.12.12
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://ofbiz.apache.org/download.html
3 Rack拒绝服务漏洞(CVE-2024-26146)
一、漏洞描述:
Rack是模块化的Ruby Web服务器界面。
Rack 2.0.9.4之前、2.1.4.4之前、2.2.8.1之前 和 3.0.9.1之前版本存在安全漏洞,该漏洞源于精心设计的标头可能会导致 Rack 的媒体类型解析器花费比预期更长的时间,从而导致拒绝服务。
二、风险等级:
高危
三、影响范围:
Rack < 2.0.9.4
Rack < 2.1.4.4
Rack < 2.2.8.1
Rack < 3.0.9.1
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://github.com/rack/rack/sec ... GHSA-54rr-7fvw-6x8f
4 IBM Security Guardium 操作系统命令注入漏洞(CVE-2023-25925)
一、漏洞描述:
IBM Security Guardium是美国国际商业机器(IBM)公司的一套提供数据保护功能的平台。该平台包括自定义UI、报告管理和流线化的审计流程构建等功能。
IBM Security Guardium Key Lifecycle Manager 3.0、3.0.1、4.0、4.1 和 4.1.1版本存在操作系统命令注入漏洞,该漏洞源于允许经过身份验证的远程攻击者通过发送特制请求来在系统上执行任意命令。
二、风险等级:
高危
三、影响范围:
IBM Security Guardium Key Lifecycle Manager 3.0
IBM Security Guardium Key Lifecycle Manager3.0.1
IBM Security Guardium Key Lifecycle Manager4.0
IBM Security Guardium Key Lifecycle Manager4.1
IBM Security Guardium Key Lifecycle Manager 4.1.1
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://www.ibm.com/support/pages/node/6964516
|
发表于 2024-3-1 09:11