找回密码
 注册创意安天

漏洞风险提示(20240321)

[复制链接]
发表于 2024-3-21 09:23 | 显示全部楼层 |阅读模式
免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表安天实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与安天实验室一律不予承担。

1 Confluence Data Center 与 Confluence Server 路径遍历漏洞(CVE-2024-21677)
一、漏洞描述:
        Confluence.jpg
        Confluence 是由 Atlassian 开发的企业级专业的企业知识管理与协同软件,也可以用于构建企业wiki。使用简单,帮助团队成员之间共享信息、文档协作、集体讨论,信息推送。
        该漏洞允许未经身份验证的攻击者利用一个暂时无法定义的漏洞,该漏洞对机密性有很大影响,对完整性有很大影响,对可用性有很大影响,并且需要用户交互,建议受影响用户立即更新到安全版本。

二、风险等级:
        高危
三、影响范围:
        Confluence Data Center=8.8.0
        8.7.0<=Confluence Data Center<=8.7.2
        8.6.0<=Confluence Data Center<=8.6.2
        8.5.0<=Confluence Data Center<=8.5.6
        LTS 8.4.0<=Confluence Data Center<=8.4.5
        8.3.0<=Confluence Data Center<=8.3.4
        8.2.0<=Confluence Data Center<=8.2.3
        8.1.0<=Confluence Data Center<=8.1.4
        8.0.0<=Confluence Data Center<=8.0.4
        7.20.0<=Confluence Data Center<=7.20.3
        7.19.0<=Confluence Data Center<=7.19.19
        LTS 7.18.0<=Confluence Data Center<=7.18.3
        7.17.0<=Confluence Data Center<=7.17.5
        Confluence Data Center<=7.17.0
        8.5.0<=Confluence Server<=8.5.6
        LTS 8.4.0<=Confluence Server<=8.4.5
        8.3.0<=Confluence Server<=8.3.4
        8.2.0<=Confluence Server<=8.2.3
        8.1.0<=Confluence Server<=8.1.4
        8.0.0<=Confluence Server<=8.0.4
        7.20.0<=Confluence Server<=7.20.3
        7.19.0<=Confluence Server<=7.19.19
        LTS 7.18.0<=Confluence Server<=7.18.3
        7.17.0<=Confluence Server<=7.17.5
        Confluence Server<=7.17.0

四、修复建议:
        目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
        https://www.atlassian.com/software/confluence/download-archives


2 Parse Server注入漏洞(CVE-2024-29027)
一、漏洞描述:
        parse server.jpg
        Parse Server 是一款基于node.js的开源框架。
        Parse Server版本6.5.5和7.0.0-alpha.29之前,由于缺乏对Cloud Function 名称和 Cloud Job 名称的字符串清理,当调用无效的Parse Server Cloud Function名称或 Cloud Job 名称时可能导致服务器崩溃,或可能导致代码注入或远程代码执行等。

二、风险等级:
        高危
三、影响范围:
        Parse Server版本< 6.5.5
        7.0.0-alpha.1<= Parse Server版本< 7.0.0-alpha.29

四、修复建议:
        目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
        https://github.com/parse-community/parse-server/releases


3 black拒绝服务攻击漏洞(CVE-2024-21503)
一、漏洞描述:
       
        Black是一个 Python 代码格式化程序。black 24.3.0 之前版本存在安全漏洞,该漏洞源于 strings.py 文件中的lines_with_leading_tabs_expanded 函数容易受到拒绝服务攻击,攻击者利用该漏洞可以通过制作恶意输入导致拒绝服务。
二、风险等级:
        高危
三、影响范围:
        black < 24.3.0
四、修复建议:
        目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
        https://github.com/psf/black/com ... a8993cee8bedf5fe9b8


4 Apache Wicket 环境问题漏洞(CVE-2024-27439)
一、漏洞描述:
        Apache Wicket.jpg
        Apache Wicket是美国阿帕奇(Apache)基金会的一套开源、轻量、基于组件的框架,它提供了一种面向对象的方式来开发基于Web的动态UI应用程序。
        Apache Wicket 9.1.0 到 9.16.0、Apache Wicket 10.0.0-M1之前版本存在环境问题漏洞,该漏洞源于获取元数据标头的评估错误,可能会允许攻击者绕过 Apache Wicket 中的 CSRF 保护。

二、风险等级:
        高危
三、影响范围:
        Apache Wicket 9.1.0 - 9.16.0
        Apache Wicket 1< 0.0.0-M1

四、修复建议:
        目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
        https://lists.apache.org/thread/o825rvjjtmz3qv21ps5k7m2w9193g1lo

您需要登录后才可以回帖 登录 | 注册创意安天

本版积分规则

Archiver|手机版|小黑屋|创意安天 ( 京ICP备09068574,ICP证100468号。 )

GMT+8, 2024-12-26 19:46

Powered by Discuz! X3.5

© 2001-2024 Discuz! Team.

快速回复 返回顶部 返回列表