免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表安天实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与安天实验室一律不予承担。
1 Fortinet FortiClientEMS SQL注入漏洞(CVE-2023-48788)
一、漏洞描述:
Fortinet FortiClientEMS 是一款用于管理和保护 Fortinet FortiClient 客户端安全性的集中式管理平台。
Fortinet FortiClientEMS 平台存在一个 SQL注入漏洞,未经认证的远程攻击者可通过创建恶意日志条目,并向服务器发出精心制作的请求,成功的利用此漏洞可在管理员工作站上执行任意命令。
二、风险等级:
高危
三、影响范围:
7.2.0 <=FortiClientEMS<=7.2.2
7.0.1 <=FortiClientEMS<=7.0.10
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://fortiguard.com/psirt/FG-IR-23-430
2 Apache Tomcat 拒绝服务漏洞(CVE-2024-24549)
一、漏洞描述:
Tomcat 服务器是一个免费的开放源代码的Web 应用服务器,属于轻量级应用服务器,在中小型系统和并发访问用户不是很多的场合下被普遍使用,是开发和调试JSP 程序的首选。
由于 Apache Tomcat 中 HTTP/2 请求的输入验证不当漏洞而导致拒绝服务,在处理 HTTP/2 请求时,如果请求超出了标头的任何配置限制,则关联的 HTTP/2 流只有在处理完所有标头后才会重置。
二、风险等级:
高危
三、影响范围:
11.0.0- M1 <= Apache Tomcat <= 11.0.0-M16
10.1.0-M1 <= Apache Tomcat <= 10.1.18
9.0.0-M1 <= Apache Tomcat <= 9.0.85
8.5.0 <= Apache Tomcat <= 8.5.98
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://tomcat.apache.org/
3 Querybook 数据伪造问题漏洞(CVE-2024-28251)
一、漏洞描述:
Querybook是Pinterest开源的一个大数据查询 UI。Querybook 3.32.0之前版本存在数据伪造问题漏洞,该漏洞源于存在跨站Websocket劫持,允许攻击者读取/编辑/删除用户的数据文档。
二、风险等级:
高危
三、影响范围:
Querybook < 3.32.0
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://github.com/pinterest/querybook/releases/tag/v3.32.0
4 ArgoCD跨站脚本漏洞(CVE-2024-28175)
一、漏洞描述:
ArgoCD是一个应用软件。用于Kubernetes的声明性GitOps连续交付工具。它持续监控正在运行的应用程序并将当前的实时状态与所需的目标状态(例如 Git 仓库中的配置)进行比较,在 Git 仓库更改时自动同步和部署应用程序。
ArgoCD 存在安全漏洞,该漏洞源于application summary组件存在跨站脚本(XSS)漏洞。受影响的产品和版本:Argo CD 2.10.2及之前版本, 2.9.7及之前版本,2.8.11及之前版本。
二、风险等级:
高危
三、影响范围:
Argo CD <= 2.10.2
Argo CD <= 2.9.7
Argo CD <= 2.8.11
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://github.com/argoproj/argo ... 9f7003f39602c480b71
|
发表于 2024-3-15 09:31