漏洞风险提示（20240509）

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 蓝网科技临床浏览系统 deleteStudy.php SQL注入漏洞(CVE-2024-4257)
一、漏洞描述：     
       
        蓝网科技临床浏览系统是一个专门用于医疗行业的软件系统，主要用于医生、护士和其他医疗专业人员在临床工作中进行信息浏览、查询和管理。蓝网科技临床浏览系统存在SQL注入漏洞，未授权的攻击者可以利用该漏洞获取数据库敏感信息。
二、风险等级：
        高危
三、影响范围：
        蓝网科技临床浏览系统 1.2.1
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://www.lanwon.com

---

2 SolarWinds Serv-U FTP Server 日志信息泄露漏洞(CVE-2024-28072)
一、漏洞描述：     
       
        SolarWinds Serv-U FTP Server是美国SolarWinds公司的一套FTP和MFT文件传输软件。SolarWinds Serv-U FTP Server 15.4.2及之前版本存在日志信息泄露漏洞，该漏洞源于日志文件路径标签未正确清理，高权限帐户可以使用日志输出覆盖系统上的任意文件。
二、风险等级：
        高危
三、影响范围：
        SolarWinds Serv-U FTP Server <= 15.4.2
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://www.solarwinds.com/trust ... ries/cve-2024-28072

---

3 tqdm 任意代码执行漏洞(CVE-2024-34062)
一、漏洞描述：     
       
        tqdm是tqdm开源的一个用于 Python 和 CLI 的快速、可扩展的进度条。tqdm 4.66.3之前版本存在安全漏洞，该漏洞源于任何可选的非布尔 CLI 参数都可以通过 python 的 eval传递，允许任意代码执行。
二、风险等级：
        高危
三、影响范围：
        tqdm < 4.66.3
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://github.com/tqdm/tqdm/sec ... GHSA-g7vv-2v7x-gj9p

---

4 uriparser缓冲区溢出漏洞(CVE-2024-34402)
一、漏洞描述：     
       
        Uriparser是一个用 C89 编写的严格符合 Rfc 3986 的 Uri 解析和处理库。uriparser 0.9.7版本存在安全漏洞，该漏洞源于存在整数溢出，从而导致缓冲区溢出。
二、风险等级：
        高危
三、影响范围：
        uriparser 0.9.7
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://github.com/uriparser/uri ... tag/uriparser-0.9.8