找回密码
 注册创意安天

漏洞风险提示(20240407)

[复制链接]
发表于 2024-4-7 09:21 | 显示全部楼层 |阅读模式
免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表安天实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与安天实验室一律不予承担。

1 WordPress LayerSlider插件SQL注入漏洞(CVE-2024-2879)
一、漏洞描述:
        WordPress.jpg
        WordPress插件LayerSlider是一款可视化网页内容编辑器、图形设计软件和数字视觉效果应用程序,全球活跃安装量超过 1,000,000 次。
        LayerSlider插件版本7.9.11 – 7.10.0中,由于对用户提供的参数转义不充分以及缺少wpdb::prepare(),可能导致通过 ls_get_popup_markup 操作受到SQL注入攻击,未经身份验证的威胁者可利用该漏洞从数据库中获取敏感信息。

二、风险等级:
        高危
三、影响范围:
        LayerSlider插件版本7.9.11 – 7.10.0
四、修复建议:
        目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
        https://layerslider.com/


2 WordPress WP-Members Membership 跨站脚本漏洞(CVE-2024-1852)
一、漏洞描述:
        WordPress.jpg
        WP-Members Membership插件3.4.9.2及之前版本中,由于输入清理和输出转义不当,未经身份验证的威胁者可利用注册请求中的X-Forwarded-For 标头注入任意 JavaScript,导致存储型XSS攻击。
        并在用户访问被注入的页面(编辑用户页面)时触发脚本执行,成功利用该漏洞可能导致创建恶意用户帐户、网站接管或将站点访问者重定向到恶意网站等。

二、风险等级:
        高危
三、影响范围:
        WP-Members Membership插件版本 <= 3.4.9.2
四、修复建议:
        目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
        https://wordpress.org/plugins/wp-members/


3 Adobe Experience Manager 跨站脚本漏洞(CVE-2024-20799)
一、漏洞描述:
        Adobe Experience Manager.jpg
        Adobe Experience Manager(AEM)是美国奥多比(Adobe)公司的一套可用于构建网站、移动应用程序和表单的内容管理解决方案。该方案支持移动内容管理、营销销售活动管理和多站点管理等。
        Adobe Experience Manager 6.5.19及之前版本存在跨站脚本漏洞,该漏洞源于容易受到存储型跨站脚本(XSS)攻击,攻击者可能会在受害者的浏览器中执行任意JavaScript。

二、风险等级:
        高危
三、影响范围:
        Adobe Experience Manager <= 6.5.19
四、修复建议:
        目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
        https://helpx.adobe.com/security ... ager/apsb24-05.html


4 Bonitasoft Bonita Web 存储型跨站脚本漏洞(CVE-2024-27609)
一、漏洞描述:
        Bonitasoft.jpg
        Bonitasoft Bonita Web是Bonitasoft社区的一个开源业务流程管理和低代码开发平台。Bonitasoft Bonita Web 2023.2-u2之前版本存在安全漏洞,该漏洞源于允许通过管理面板中的UI屏幕进行存储型跨站脚本攻击。
二、风险等级:
        高危
三、影响范围:
        Bonitasoft Bonita Web < 2023.2-u2
四、修复建议:
        目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
        https://documentation.bonitasoft.com/bonita/latest/release-notes

您需要登录后才可以回帖 登录 | 注册创意安天

本版积分规则

Archiver|手机版|小黑屋|创意安天 ( 京ICP备09068574,ICP证100468号。 )

GMT+8, 2024-12-13 10:27

Powered by Discuz! X3.5

© 2001-2024 Discuz! Team.

快速回复 返回顶部 返回列表