免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表安天实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与安天实验室一律不予承担。
1 Adobe ColdFusion 任意文件读取漏洞(CVE-2024-20767)
一、漏洞描述:
Adobe ColdFusion,是一个动态Web服务器,Coldfusion 最早是由 Allaire 公司开发的一种应用服务器平台,其运行的 CFML(ColdFusion Markup Language)针对Web应用的一种脚本语言。
文件以*.cfm为文件名,在ColdFusion专用的应用服务器环境下运行。该漏洞是由于Adobe ColdFusion在存在一个接口泄露了uuid,而使用该uuid可访问后台logging模块API,其中未对文件名进行验证过滤,导致可以读取任意文件。
二、风险等级:
高危
三、影响范围:
Adobe ColdFusion 2021<=Update 12
Adobe ColdFusion 2023<=Update 6
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://www.adobe.com/
2 Apache Airflow 权限管理不当漏洞 (CVE-2024-29735)
一、漏洞描述:
Apache Airflow是一个提供基于DAG有向无环图来编排工作流的、可视化的分布式任务调度平台。
Apache Airflow存在权限保留不当漏洞,在本地文件任务处理程序错误地设置了日志文件夹的所有父文件夹的权限,在默认配置中添加了对文件夹的 Unix 组的写入权限,如果您的日志文件存储在主目录中,则这些权限更改可能会影响您在主目录变为可组写入后运行 SSH 操作的能力。如果您的 umask 为 002,将不受到影响。(Linux 系统上的默认设置)
二、风险等级:
高危
三、影响范围:
2.8.2 <= Apache Airflow <= 2.8.3
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://github.com/apache/airflow/
3 AutomationDirect C-MORE EA9 HMI 路径遍历漏洞(CVE-2024-25136)
一、漏洞描述:
AutomationDirect C-MORE EA9 HMI是美国AutomationDirect公司的一款触摸屏。AutomationDirect C-MORE EA9 HMI存在路径遍历漏洞,该漏洞源于未正确清理内容,允许攻击者在通过 URL进行路径遍历。
二、风险等级:
高危
三、影响范围:
AutomationDirect C-MORE EA9 HMI
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://www.automationdirect.com/support/software-downloads
4 Kemp LoadMaster 跨站请求伪造漏洞(CVE-2024-2449)
一、漏洞描述:
Kemp LoadMaster是Kemp公司的一款高度安全的应用程序。Kemp LoadMaster 存在跨站请求伪造漏洞,该漏洞源于允许攻击者将经过身份验证的 LoadMaster 管理员引导至第三方站点,代表 LoadMaster 管理员执行 HTTP 事务。
二、风险等级:
高危
三、影响范围:
Kemp LoadMaster
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://progress.com/loadmaster
|
发表于 2024-3-28 09:22
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
显身卡