免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表安天实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与安天实验室一律不予承担。
1 QNAP NAS 失效的身份认证漏洞(CVE-2024-21899)
一、漏洞描述:
QNAP NAS 是指威联通 NAS,威联通专注于文件共享、存储管理、虚拟化和云服务的硬件系统,以及家庭和企业的监控应用程序。
在受影响的QNAP NAS版本中存在一个身份验证缺失漏洞,导致未经授权的用户通过网络(远程)破坏系统的安全性。
二、风险等级:
高危
三、影响范围:
QTS5.1.x
QTS4.5.x
QuTS hero h5.1.x
QuTS hero h4.5.x
QuTScloud c5.x
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://www.qnap.com/en/security-advisory/qsa-24-09
2 ManageEngine Desktop Central 文件上传漏洞 (CVE-2024-2370)
一、漏洞描述:
ManageEngine Desktop Central(现称为 Endpoint Central),是统一的端点管理和安全解决方案,可帮助从中央位置管理台式机、笔记本电脑、服务器、移动设备和平板电脑。
ManageEngine Desktop Central 在版本9,构建90055 中存在文件上传漏洞。攻击者可以利用此漏洞在系统中上传恶意文件,而无需提供任何凭据。
二、风险等级:
高危
三、影响范围:
ManageEngine Desktop Centra 9
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://www.manageengine.com/products/desktop-central/
3 Santesoft Sante FFT 成像越界写入 (CVE-2024-1696)
一、漏洞描述:
Santesoft Sante FFT Imaging一款用于去除 DICOM 和普通图像(jpg、tif、png和bmp)中的图案噪声的程序。
在Santesoft Sante FFT Imaging版本1.4.1及之前的版本中,一旦用户在受影响的FFT Imaging安装上打开恶意的DCM文件,本地攻击者可能会执行越界写入操作,从而导致任意代码执行。
二、风险等级:
高危
三、影响范围:
Sante FFT Imaging <= 1.4.1
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://santesoft.com/win/sante-fft-imaging/download.html
4 Apache Pulsar 任意文件读取漏洞 (CVE-2024-27894)
一、漏洞描述:
Apache Pulsar 是一个多租户、高性能的服务间消息传输解决方案,数据持久化依赖 Apache BookKeeper 实现,支持多租户、低延时、读写分离、跨地域复制、快速扩容、灵活容错等特性。
Apache Pulsar Functions Worker中存在一个任意文件读取漏洞,由于未对参数进行过滤导致允许经过身份验证的用户进行任意文件读取漏洞,访问服务器敏感信息。
二、风险等级:
高危
三、影响范围:
2.4.0 <= Apache Pulsar <= 2.10.5
2.11.0 <= Apache Pulsar <= 2.11.3
3.0.0 <= Apache Pulsar <= 3.0.2
3.1.0 <= Apache Pulsar <= 3.1.2
Apache Pulsar = 3.2.0
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://github.com/apache/pulsar/releases
|
发表于 2024-3-14 09:19