免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表安天实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与安天实验室一律不予承担。
1 IP-guard WebServer权限绕过漏洞
一、漏洞描述:
IP-guard是由溢信科技开发的一款终端安全管理软件,旨在帮助企业保护终端设备安全、数据安全、管理网络使用和简化IT系统管理。
IP-guard WebServer < 4.82.0609.0 存在权限绕过漏洞,由于权限验证机制中存在设计缺陷,导致可以绕过权限验证,通过后端接口进行任意文件读取、删除操作。
二、风险等级:
高危
三、影响范围:
IP-guard < 4.82.0609.0
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://www.ip-guard.net/
2 kkFileView文件上传代码执行漏洞
一、漏洞描述:
kkFileView是使用spring boot搭建的文档在线预览解决方案,能够支持多种主流办公文档的在线预览,如doc、docx、xls、xlsx、ppt、pptx、pdf、txt、zip、rar等格式。此外,它还可以预览图片、视频、音频等多种类型的文件。
kkFileView受影响版中的文件上传功能在处理压缩包时存在安全问题,威胁者可上传包含恶意代码的zip压缩包,覆盖系统文件,并可通过调用被覆盖的文件实现远程代码执行。
二、风险等级:
高危
三、影响范围:
v4.2.0 <= kkFileView <= v4.4.0-beta
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://github.com/kekingcn/kkFileView/releases
3 WordPress Forminator插件文件上传漏洞(CVE-2024-28890)
一、漏洞描述:
Forminator是一款易于使用的WordPress表单构建器插件,该插件的活跃安装量超过500,000。
由于Forminator 1.29.0 之前的版本在文件上传过程中文件验证不充分,可能导致远程威胁者在使用该插件的网站上上传恶意文件,从而可能获取敏感信息、破坏站点并导致拒绝服务等。
二、风险等级:
高危
三、影响范围:
Forminator < 1.29.0
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://wordpress.org/plugins/forminator/
4 Cisco IMC命令注入漏洞(CVE-2024-20356)
一、漏洞描述:
Cisco Integrated Management Controller(简称IMC)是一种底板管理控制器,用于通过多个接口管理 UCS C系列机架和UCS S系列存储服务器,包括 XML API、Web (WebUI) 和命令行 (CLI) 接口。
由于对用户提供的输入验证不足,思科集成管理控制器 (IMC) 基于Web的管理界面中存在命令注入漏洞,经过身份验证且具有管理员级别权限的远程威胁者可通过向受影响软件的基于Web的管理界面发送恶意设计的命令来利用该漏洞,成功利用可能导致将权限提升至root。
二、风险等级:
高危
三、影响范围:
如果以下Cisco产品在默认配置中运行易受攻击的 Cisco IMC 版本,则此漏洞会影响这些产品:
5000系列企业网络计算系统 (ENCS)
Catalyst 8300系列Edge uCPE
独立模式下的UCS C系列 M5、M6 和M7机架服务器
UCS E系列服务器
独立模式下的 UCS S系列存储服务器
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://sec.cloudapps.cisco.com/ ... cimc-cmd-inj-bLuPcb |