找回密码
 注册创意安天

漏洞风险提示(20240509)

[复制链接]
发表于 2024-5-9 09:10 | 显示全部楼层 |阅读模式
免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表安天实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与安天实验室一律不予承担。

1 蓝网科技临床浏览系统 deleteStudy.php SQL注入漏洞(CVE-2024-4257)
一、漏洞描述:     
        蓝网科技临床浏览系统.jpg
        蓝网科技临床浏览系统是一个专门用于医疗行业的软件系统,主要用于医生、护士和其他医疗专业人员在临床工作中进行信息浏览、查询和管理。蓝网科技临床浏览系统存在SQL注入漏洞,未授权的攻击者可以利用该漏洞获取数据库敏感信息。
二、风险等级:
        高危
三、影响范围:
        蓝网科技临床浏览系统 1.2.1
四、修复建议:
        目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
        https://www.lanwon.com


2 SolarWinds Serv-U FTP Server 日志信息泄露漏洞(CVE-2024-28072)
一、漏洞描述:     
        solarwinds.jpg
        SolarWinds Serv-U FTP Server是美国SolarWinds公司的一套FTP和MFT文件传输软件。SolarWinds Serv-U FTP Server 15.4.2及之前版本存在日志信息泄露漏洞,该漏洞源于日志文件路径标签未正确清理,高权限帐户可以使用日志输出覆盖系统上的任意文件。
二、风险等级:
        高危
三、影响范围:
        SolarWinds Serv-U FTP Server <= 15.4.2
四、修复建议:
        目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
        https://www.solarwinds.com/trust ... ries/cve-2024-28072


3 tqdm 任意代码执行漏洞(CVE-2024-34062)
一、漏洞描述:     
       
        tqdm是tqdm开源的一个用于 Python 和 CLI 的快速、可扩展的进度条。tqdm 4.66.3之前版本存在安全漏洞,该漏洞源于任何可选的非布尔 CLI 参数都可以通过 python 的 eval传递,允许任意代码执行。
二、风险等级:
        高危
三、影响范围:
        tqdm < 4.66.3
四、修复建议:
        目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
        https://github.com/tqdm/tqdm/sec ... GHSA-g7vv-2v7x-gj9p


4 uriparser缓冲区溢出漏洞(CVE-2024-34402)
一、漏洞描述:     
       
        Uriparser是一个用 C89 编写的严格符合 Rfc 3986 的 Uri 解析和处理库。uriparser 0.9.7版本存在安全漏洞,该漏洞源于存在整数溢出,从而导致缓冲区溢出。
二、风险等级:
        高危
三、影响范围:
        uriparser 0.9.7
四、修复建议:
        目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
        https://github.com/uriparser/uri ... tag/uriparser-0.9.8
您需要登录后才可以回帖 登录 | 注册创意安天

本版积分规则

Archiver|手机版|小黑屋|创意安天 ( 京ICP备09068574,ICP证100468号。 )

GMT+8, 2024-12-27 03:59

Powered by Discuz! X3.5

© 2001-2024 Discuz! Team.

快速回复 返回顶部 返回列表