漏洞风险提示（20240424）

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 Flowise 身份认证绕过漏洞(CVE-2024-31621)
一、漏洞描述：     
       
        FlowiseAI是一个强大的开源项目，致力于简化和自动化业务流程，提高工作效率。该项目结合了人工智能与工作流引擎，为用户提供了一种直观、可扩展的方式来设计、执行和监控复杂的工作流程。
        FlowiseAI存在身份认证绕过漏洞，未授权的攻击者可以通过将路径修改为大写从而绕过检测，从而获取大量敏感信息。
二、风险等级：
        高危
三、影响范围：
        flowise version <= 1.6.5
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://flowiseai.com

---

2 Ivanti Avalanche 远程命令执行漏洞(CVE-2024-24996)
一、漏洞描述：     
       
        Ivanti Avalanche是美国Ivanti公司的一套企业移动设备管理系统。该系统主要用于管理智能手机、平板电脑和条形码扫描仪等设备。
        Ivanti Avalanche 6.4.3 版本之前存在安全漏洞，该漏洞源于 WLInfoRailService 组件存在堆溢出漏洞。未经身份验证的远程攻击者利用该漏洞可以执行任意命令。
二、风险等级：
        高危
三、影响范围：
        Ivanti Avalanche <= 6.4.3
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://forums.ivanti.com/s/arti ... ssed?language=en_US

---

3 nora-common远程代码执行漏洞(CVE-2024-30564)
一、漏洞描述：     
       
        nora-common是Andrei Tatar个人开发者的一个 NORA Node Red 客户端和 NORA Firebase 后端之间的通用回购。
        nora-common v.1.0.41 到 v.1.12.2版本存在安全漏洞，该漏洞源于允许远程攻击者通过 updateStateInternal中的 updateState 参数使用精心设计的脚本执行任意代码。
二、风险等级：
        高危
三、影响范围：
        nora-common v.1.0.41 - v.1.12.2
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://github.com/andrei-tatar/ ... 4561a223226c890f01b

---

4 HashiCorp go-getter参数注入漏洞(CVE-2024-3817)
一、漏洞描述：     
       
        HashiCorp go-getter是美国HashiCorp公司的Go (golang) 的一个库，用于使用 URL 作为主要输入形式从各种来源下载文件或目录。
        HashiCorp go-getter 1.5.9版本至1.7.3版本存在安全漏洞，该漏洞源于容易受到参数注入的影响。
二、风险等级：
        高危
三、影响范围：
        HashiCorp go-getter 1.5.9 - 1.7.3
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://discuss.hashicorp.com/t/ ... -git-branches/66040