免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表安天实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与安天实验室一律不予承担。
1 WordPress LayerSlider插件SQL注入漏洞(CVE-2024-2879)
一、漏洞描述:
WordPress插件LayerSlider是一款可视化网页内容编辑器、图形设计软件和数字视觉效果应用程序,全球活跃安装量超过 1,000,000 次。
LayerSlider插件版本7.9.11 – 7.10.0中,由于对用户提供的参数转义不充分以及缺少wpdb::prepare(),可能导致通过 ls_get_popup_markup 操作受到SQL注入攻击,未经身份验证的威胁者可利用该漏洞从数据库中获取敏感信息。
二、风险等级:
高危
三、影响范围:
LayerSlider插件版本7.9.11 – 7.10.0
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://layerslider.com/
2 WordPress WP-Members Membership 跨站脚本漏洞(CVE-2024-1852)
一、漏洞描述:
WP-Members Membership插件3.4.9.2及之前版本中,由于输入清理和输出转义不当,未经身份验证的威胁者可利用注册请求中的X-Forwarded-For 标头注入任意 JavaScript,导致存储型XSS攻击。
并在用户访问被注入的页面(编辑用户页面)时触发脚本执行,成功利用该漏洞可能导致创建恶意用户帐户、网站接管或将站点访问者重定向到恶意网站等。
二、风险等级:
高危
三、影响范围:
WP-Members Membership插件版本 <= 3.4.9.2
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://wordpress.org/plugins/wp-members/
3 Adobe Experience Manager 跨站脚本漏洞(CVE-2024-20799)
一、漏洞描述:
Adobe Experience Manager(AEM)是美国奥多比(Adobe)公司的一套可用于构建网站、移动应用程序和表单的内容管理解决方案。该方案支持移动内容管理、营销销售活动管理和多站点管理等。
Adobe Experience Manager 6.5.19及之前版本存在跨站脚本漏洞,该漏洞源于容易受到存储型跨站脚本(XSS)攻击,攻击者可能会在受害者的浏览器中执行任意JavaScript。
二、风险等级:
高危
三、影响范围:
Adobe Experience Manager <= 6.5.19
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://helpx.adobe.com/security ... ager/apsb24-05.html
4 Bonitasoft Bonita Web 存储型跨站脚本漏洞(CVE-2024-27609)
一、漏洞描述:
Bonitasoft Bonita Web是Bonitasoft社区的一个开源业务流程管理和低代码开发平台。Bonitasoft Bonita Web 2023.2-u2之前版本存在安全漏洞,该漏洞源于允许通过管理面板中的UI屏幕进行存储型跨站脚本攻击。
二、风险等级:
高危
三、影响范围:
Bonitasoft Bonita Web < 2023.2-u2
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://documentation.bonitasoft.com/bonita/latest/release-notes
|
发表于 2024-4-7 09:21