免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表安天实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与安天实验室一律不予承担。
1 XZ-Util工具库恶意后门植入漏洞(CVE-2024-3094)
一、漏洞描述:
XZ-Utils是Linux、Unix等POSIX兼容系统中广泛用于处理.xz文件的套件,包含liblzma、xz等组件,已集成在debian、ubuntu、centos等发行版仓库中。
该漏洞是由于开发者向软件中注入了恶意的后门程序,由于SSH底层依赖了liblzma,攻击者可能利用这一漏洞在受影响的系统上绕过SSH的认证获得未授权访问权限,执行任意代码。
二、风险等级:
高危
三、影响范围:
XZ-Utils = 5.6.0
XZ-Utils = 5.6.1
四、修复建议:
临时修复建议:
需对软件版本进行降级到5.4.X。
2 WordPress Automatic Plugin 任意文件下载漏洞(CVE-2024-27954)
一、漏洞描述:
WordPress Automatic Plugin是一款功能强大的WordPress插件,旨在帮助用户自动采集并发布内容。这款插件支持从各种来源自动采集内容,包括但不限于RSS源、网站、YouTube、eBay等。
用户可以根据自己的需求设置采集规则,选择要采集的内容类型、关键词、发布时间等。一旦设置完成,插件会自动按照规则定时采集内容,并发布到WordPress网站上。
WordPress Automatic Plugin 小于 3.92.1 的版本存在任意文件下载漏洞,未授权的攻击者可以通过该漏洞下载服务器的任意文件,从而获取大量敏感信息。
二、风险等级:
高危
三、影响范围:
WordPress Automatic Plugin
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://wordpress.org/plugins
3 chatgpt pictureproxy.php SSRF漏洞(CVE-2024-27564)
一、漏洞描述:
ChatGPT pictureproxy.php接口存在服务器端请求伪造 漏洞(SSRF) ,未授权的攻击者可以通过将构建的 URL 注入 url参数来强制应用程序发出任意请求。
二、风险等级:
高危
三、影响范围:
chatgpt
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://github.com/dirk1983/chatgpt/issues/114
4 通天星CMSV6 admin 弱口令漏洞(CVE-2024-29666)
一、漏洞描述:
CMSV6平台是基于车辆位置信息服务和实时视频传输服务的创新技术和开放运营理念。为GPS运营商车辆硬件设备制造商、车队管理企业等车辆运营相关企业提供核心基础数据服务。
CMSV6 7.31.0.2、7.32.0.3版本中存在弱密码漏洞,未授权的攻击者可以通过弱口令登录后台,获取管理员权限。
二、风险等级:
高危
三、影响范围:
CMSV6 7.31.0.2
CMSV6 7.32.0.3
四、修复建议:
临时修复建议:
1、不要使用如admin,root的弱口令作为账号密码;
2、强制用户使用强密码,并确保默认的管理员账号和密码已被修改,并设置复杂的凭证。
|
发表于 2024-4-1 09:28