漏洞风险提示（20240410）

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 D-Link NAS设备命令注入漏洞(CVE-2024-3273)
一、漏洞描述：
       
        D-Link DNS-320L、DNS-325、DNS-327L、DNS-340L等多个产品的/cgi-bin/nas_sharing.cgi脚本中存在硬编码后门漏洞（用户名messagebus，密码为空），以及可通过system参数导致命令注入漏洞。
        威胁者可组合利用这两个漏洞通过HTTP GET请求将Base64编码的命令添加到system参数从而在系统上执行任意命令，成功利用可能导致未授权访问敏感信息、修改系统配置或拒绝服务等。
二、风险等级：
        高危
三、影响范围：
        DNS-320L 版本1.11、版本1.03.0904.2013、版本1.01.0702.2013
        DNS-325 版本1.01 DNS-327L 版本1.09、版本1.00.0409.2013
        DNS-340L 版本1.08
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://supportannouncement.us.d ... .aspx?name=SAP10383

---

2 Apache NimBLE 安全漏洞(CVE-2024-24746)
一、漏洞描述：
       
        Apache NimBLE是美国阿帕奇（Apache）基金会的一个开源蓝牙 5.4 堆栈（主机和控制器），完全取代 Nordic 芯片组上的专有 SoftDevice。
        它是Apache Mynewt 项目的一部分。Apache NimBLE 1.6.0版本及之前版本存在安全漏洞，该漏洞源于代码中存在无法到达退出条件的循环。
二、风险等级：
        高危
三、影响范围：
        Apache NimBLE <= 1.6.0
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://lists.apache.org/thread/bptkzc0o2ymjk8qqzqdmy39kcmh27078

---

3 X.org server 资源管理错误漏洞(CVE-2024-31083)
一、漏洞描述：
       
        X.org Server是X.org基金会的一个开放源代码的自由软件。X.org server存在资源管理错误漏洞，该漏洞源于 ProcRenderAddGlyphs 函数存在释放后重用漏洞。
二、风险等级：
        高危
三、影响范围：
        X.org server
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://www.x.org/wiki/Developme ... /SubmittingPatches/

---

4 Elink Smart eSmartCam信息泄露漏洞(CVE-2024-25731)
一、漏洞描述：
       
        Elink Smart eSmartCam是Elink Smart公司的一种智能摄像头。Elink Smart eSmartCam 2.1.5版本存在信息泄露漏洞，攻击者可利用该漏洞获取二进制文件中的AES硬编码加密密钥，进而将加密文件破解。
二、风险等级：
        高危
三、影响范围：
        Elink Smart eSmartCam 2.1.5
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://github.com/actuator/com. ... main/CVE-2024-25731

---