漏洞风险提示（20240408）

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 Progress Flowmon命令注入漏洞(CVE-2024-2389)
一、漏洞描述：
       
        Progress Software的Flowmon是一种网络监控和安全解决方案，可帮助企业和组织监控、分析和保护其网络。
        Progress Flowmon 版本11.x、12.x中存在命令注入漏洞，未经身份验证的远程攻击者可以访问 Flowmon 的Web界面，以发出恶意设计的API命令，从而可能导致在未经身份验证的情况下执行任意系统命令。
二、风险等级：
        高危
三、影响范围：
        Progress Flowmon 版本11.x < 11.1.14
        Progress Flowmon 版本12.x < 12.3.5
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://support.kemptechnologies ... wnload-Flowmon-12-3

---

2 Human Resource Information System 跨站脚本漏洞(CVE-2024-3415)
一、漏洞描述：
       
        Human Resource Information System是一个人力资源信息系统。
        SourceCodester Human Resource Information System 1.0 版本存在跨站脚本漏洞，该漏洞源于 Superadmin_Dashboard/process/addbranches_process.php 文件的 branches_name 参数存在跨站脚本漏洞。
二、风险等级：
        高危
三、影响范围：
        SourceCodester Human Resource Information System 1.0
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://www.sourcecodester.com/p ... ree-sourcecode.html

---

3 Online Library System SQL注入漏洞(CVE-2024-3360)
一、漏洞描述：
       
        Online Library System是一个开源在线图书馆系统。SourceCodester Online Library System 1.0 版本存在SQL注入漏洞，该漏洞源于 admin/books/index.php 文件的 id 参数存在 SQL 注入漏洞。
二、风险等级：
        高危
三、影响范围：
        SourceCodester Online Library System 1.0
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://www.sourcecodester.com/p ... ll-source-code.html

---

4 Dell Secure Connect Gateway Policy Manager跨站脚本漏洞(CVE-2024-24906)
一、漏洞描述：
       
        Dell Secure Connect Gateway是美国戴尔（Dell）公司的一款安全连接网关。Dell Secure Connect Gateway Policy Manager存在跨站脚本漏洞，攻击者可利用该漏洞在受信程序数据中储存并执行恶意HTML或JavaScript代码，进而导致信息泄露、会话窃取或客户端请求伪造。
二、风险等级：
        高危
三、影响范围：
        Dell Secure Connect Gateway Policy Manager
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://www.dell.com/support/kbd ... ger-vulnerabilities

---