找回密码
 注册创意安天

漏洞风险提示(20240429)

[复制链接]
发表于 2024-4-29 09:00 | 显示全部楼层 |阅读模式
免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表安天实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与安天实验室一律不予承担。

1 Gradio file SSRF漏洞(CVE-2024-1183)
一、漏洞描述:     
        gradio.jpg
        Gradio是一个用于创建机器学习模型交互式界面的Python库。它可以帮助用户快速地为模型构建一个可视化的、易于使用的Web界面,无需编写任何Web前端代码。通过Gradio,用户可以定义输入组件和输出组件,以接收用户输入和展示模型的预测结果。
        此外,Gradio支持多种不同类型的输入(如文本、图像、音频等)和输出(如文本、图像、HTML等),并可以与大多数Python机器学习框架(如TensorFlow、PyTorch等)和常见的数据处理库(如NumPy、Pandas等)无缝集成。Gradio存在SSRF漏洞,未授权的攻击者可以通过该漏洞扫描和识别内部网络中的开放端口,通过操纵GET请求中的"file"参数,攻击者可以根据响应中是否存在"Location"标头或"File not allowed"错误来辨别内部端口的状态。

二、风险等级:
        高危
三、影响范围:
        Gradio
四、修复建议:
        目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
        https://www.gradio.app


2 WordPress Plugin LearnDash LMS 信息泄露漏洞(CVE-2024-1209)
一、漏洞描述:     
        WordPress.jpg
        WordPress和WordPress plugin都是WordPress基金会的产品。WordPress是一套使用PHP语言开发的博客平台。该平台支持在PHP和MySQL的服务器上架设个人博客网站。
        WordPress plugin是一个应用插件。WordPress Plugin LearnDash LMS 4.10.2之前版本存在安全漏洞,该漏洞源于对上传任务的保护不足,容易通过直接文件访问泄露敏感信息,这使得未经身份验证的攻击者有可能获得这些上传任务内容。

二、风险等级:
        高危
三、影响范围:
        learndash_lms < 4.10.2
四、修复建议:
        目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
        https://wordpress.org/plugins


3 CrushFTP 代码注入漏洞(CVE-2024-4040)
一、漏洞描述:     
        CrushFTP.jpg
        CrushFTP是一款文件传输服务器。CrushFTP 10.7.1 和 11.1.0 之前版本存在安全漏洞,该漏洞源于允许低权限的远程攻击者从 VFS 沙箱之外的文件系统读取文件。
二、风险等级:
        高危
三、影响范围:
        Grassroot DICOM 3.0.23
四、修复建议:
        目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
        https://www.crushftp.com/crush10wiki/Wiki.jsp?page=Update


4 Grassroot DICOM 缓冲区错误漏洞(CVE-2024-22391)
一、漏洞描述:     
       
        Grassroot DICOM是Sourceforge开源的一个用于 DICOM 医学文件的 C++ 库。Grassroot DICOM 3.0.23版本存在缓冲区错误漏洞,该漏洞源于存在基于堆的缓冲区溢出漏洞,特制的格式错误的文件可能会导致内存损坏。
二、风险等级:
        高危
三、影响范围:
        Grassroot DICOM 3.0.23
四、修复建议:
        目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
        https://sourceforge.net/projects/gdcm/
您需要登录后才可以回帖 登录 | 注册创意安天

本版积分规则

Archiver|手机版|小黑屋|创意安天 ( 京ICP备09068574,ICP证100468号。 )

GMT+8, 2024-12-27 04:01

Powered by Discuz! X3.5

© 2001-2024 Discuz! Team.

快速回复 返回顶部 返回列表