免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表安天实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与安天实验室一律不予承担。
1 GeoServer 路径遍历漏洞(CVE-2023-41877)
一、漏洞描述:
GeoServer是一个用Java编写的开源服务器,它允许用户共享、处理和编辑地理空间数据。为了互操作性而设计,它使用开源标准发布来自任何主要空间数据源的数据。
该漏洞主要通过修改日志文件的路径为要读取的文件路径,然后在日志控制台即可获取对应文件的内容。
二、风险等级:
高危
三、影响范围:
GeoServer<=2.23.4
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://github.com/geoserver/geoserver/releases
2 GitHub Enterprise Server 远程代码执行漏洞(CVE-2024-2469)
一、漏洞描述:
GitHub 企业服务器(GitHub Enterprise Server)是 GitHub 企业版的内部版本,GitHub 企业服务器为企业基础架构增加了许多功能,包括额外的身份验证后端和集群选项。
二、风险等级:
高危
三、影响范围:
3.8.0<=Github Enterprise Server<3.8.17
3.9.0<=Github Enterprise Server<=3.9.12
3.10.0<=Github Enterprise Server<=3.10.9
3.11.0<=Github Enterprise Server<=3.11.7
3.12.0<=Github Enterprise Server<=3.12.1
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://enterprise.github.com/releases
3 Progress Kemp LoadMaster 命令注入漏洞(CVE-2024-1212)
一、漏洞描述:
Progress Kemp LoadMaster是一款高性能的应用交付控制器,具有可扩展性,支持实体硬件和虚拟机的负载均衡。它提供了当今应用服务所需的各种功能,包括深度用户验证、资安防护(如WAF/IPS/DDoS防护)以及零信任架构服务。这款控制器旨在为各种规模的企业和单位提供出色的负载平衡和应用程序体验。
Progress Kemp LoadMaster存在命令注入漏洞,未经身份验证的远程攻击者可以通过 LoadMaster 管理界面访问系统,从而实现任意系统命令执行。
二、风险等级:
高危
三、影响范围:
LoadMaster > 7.2.48.1
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://support.kemptechnologies ... ility-CVE-2024-1212
4 Apache Commons-Configuration2 堆栈溢出漏洞 (CVE-2024-29131)
一、漏洞描述:
Apache Commons Configuration2 是 Apache Commons 组件库中的一个项目,用于处理配置文件的读取、解析和管理。
在Apache Commons Configuration2中在 AbstractListDelimiterHandler.flattenIterator() 中添加属性时存在一个堆栈溢出的漏洞,导致可被恶意用户进行利用获取内存中的敏感信息。
二、风险等级:
高危
三、影响范围:
Apache Commons Configuration2 <= 2.10.0
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://commons.apache.org/
|