免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表安天实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与安天实验室一律不予承担。
1 74cmsSE 任意文件上传漏洞 (CVE-2024-2561)
一、漏洞描述:
74CMS人才招聘系统是基于PHP+MYSQL的免费网站管理系统源码,提供完善的人才招聘网站建设方案。
在74cmsSE 3.28.0版本中发现了一个任意文件上传漏洞。受影响的组件是企业logo处理程序的文件/controller/company/Index.php#sendCompanyLogo中的sendCompanyLogo函数,通过操纵参数imgBase64可以导致无限制的文件上传。
二、风险等级:
高危
三、影响范围:
74cmsSE 3.28.0
四、修复建议:
临时修复建议:
修改复杂账户密码
2 JFinalCMS sql注入漏洞(CVE-2024-2568)
一、漏洞描述:
JFinalCMS,极速开发,动态添加字段,自定义标签,动态创建数据库表并crud数据,数据库备份、还原,动态添加站点(多站点功能),一键生成模板代码。
JFinalCMS 5.0.0中的一个功能在组件Custom Data Page的文件/admin/div_data/delete?divId=9中存在漏洞,授权的用户利用可能导致SQL注入。
二、风险等级:
高危
三、影响范围:
JFinalCMS <= 5.0.0
四、修复建议:
临时修复建议:
修改复杂账户密码
3 GhostRace CPU信息泄露漏洞(CVE-2024-2193)
一、漏洞描述:
该漏洞为Spectre v1 (CVE-2017-5753) 瞬时执行CPU漏洞的变体,结合了推测执行和竞争条件。威胁者可利用该漏洞,利用竞争条件访问推测的可执行代码路径,从而泄露CPU中的任意数据。
二、风险等级:
高危
三、影响范围:
Intel、AMD、ARM 、IBM等主要硬件供应商的处理器以及Linux 内核,受 Spectre-v1 影响的微架构
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://www.vusec.net/projects/ghostrace/
4 Weather app未授权漏洞(CVE-2024-2567)
一、漏洞描述:
Weather app是一个天气预报应用。Weather app 1.0.0版本存在安全漏洞。攻击者利用该漏洞导致备份文件暴露给未经授权的控制范围。
二、风险等级:
高危
三、影响范围:
Weather app 1.0.0
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://play.google.com/store/ap ... ;hl=en_US&pli=1
|
发表于 2024-3-19 09:16