找回密码
 注册创意安天

漏洞风险提示(20240424)

[复制链接]
发表于 2024-4-24 09:27 | 显示全部楼层 |阅读模式
免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表安天实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与安天实验室一律不予承担。

1 Flowise 身份认证绕过漏洞(CVE-2024-31621)
一、漏洞描述:     
        Flowise.jpg
        FlowiseAI是一个强大的开源项目,致力于简化和自动化业务流程,提高工作效率。该项目结合了人工智能与工作流引擎,为用户提供了一种直观、可扩展的方式来设计、执行和监控复杂的工作流程。
        FlowiseAI存在身份认证绕过漏洞,未授权的攻击者可以通过将路径修改为大写从而绕过检测,从而获取大量敏感信息。

二、风险等级:
        高危
三、影响范围:
        flowise version <= 1.6.5
四、修复建议:
        目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
        https://flowiseai.com


2 Ivanti Avalanche 远程命令执行漏洞(CVE-2024-24996)
一、漏洞描述:     
        ivanti.jpg
        Ivanti Avalanche是美国Ivanti公司的一套企业移动设备管理系统。该系统主要用于管理智能手机、平板电脑和条形码扫描仪等设备。
        Ivanti Avalanche 6.4.3 版本之前存在安全漏洞,该漏洞源于 WLInfoRailService 组件存在堆溢出漏洞。未经身份验证的远程攻击者利用该漏洞可以执行任意命令。

二、风险等级:
        高危
三、影响范围:
        Ivanti Avalanche <= 6.4.3
四、修复建议:
        目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
        https://forums.ivanti.com/s/arti ... ssed?language=en_US


3 nora-common远程代码执行漏洞(CVE-2024-30564)
一、漏洞描述:     
        nora-common.jpg
        nora-common是Andrei Tatar个人开发者的一个 NORA Node Red 客户端和 NORA Firebase 后端之间的通用回购。
        nora-common v.1.0.41 到 v.1.12.2版本存在安全漏洞,该漏洞源于允许远程攻击者通过 updateStateInternal中的 updateState 参数使用精心设计的脚本执行任意代码。

二、风险等级:
        高危
三、影响范围:
        nora-common v.1.0.41 - v.1.12.2
四、修复建议:
        目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
        https://github.com/andrei-tatar/ ... 4561a223226c890f01b


4 HashiCorp go-getter参数注入漏洞(CVE-2024-3817)
一、漏洞描述:     
       
        HashiCorp go-getter是美国HashiCorp公司的Go (golang) 的一个库,用于使用 URL 作为主要输入形式从各种来源下载文件或目录。
        HashiCorp go-getter 1.5.9版本至1.7.3版本存在安全漏洞,该漏洞源于容易受到参数注入的影响。

二、风险等级:
        高危
三、影响范围:
        HashiCorp go-getter 1.5.9 - 1.7.3
四、修复建议:
        目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
        https://discuss.hashicorp.com/t/ ... -git-branches/66040
您需要登录后才可以回帖 登录 | 注册创意安天

本版积分规则

Archiver|手机版|小黑屋|创意安天 ( 京ICP备09068574,ICP证100468号。 )

GMT+8, 2024-12-27 04:08

Powered by Discuz! X3.5

© 2001-2024 Discuz! Team.

快速回复 返回顶部 返回列表