免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表安天实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与安天实验室一律不予承担。
1 WordPress plugin Tutor LMS 数据安全漏洞(CVE-2024-4223)
一、漏洞描述:
WordPress和WordPress plugin都是WordPress基金会的产品。WordPress是一套使用PHP语言开发的博客平台。该平台支持在PHP和MySQL的服务器上架设个人博客网站。WordPress plugin是一个应用插件。WordPress plugin Tutor LMS 2.7.0 版本及之前版本存在安全漏洞,该漏洞源于缺少对多种功能的功能检查,容易遭受未经授权的数据访问、数据修改和数据丢失。
二、风险等级:
高危
三、影响范围:
WordPress plugin Tutor LMS < 2.7.0
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://www.wordfence.com/threat ... 5c44c0f8?source=cve
2 Gradio 任意文件读取漏洞(CVE-2024-1561)
一、漏洞描述:
Gradio是一个用于创建机器学习模型交互式界面的Python库。它可以帮助用户快速地为模型构建一个可视化的、易于使用的Web界面,无需编写任何Web前端代码。通过Gradio,用户可以定义输入组件和输出组件,以接收用户输入和展示模型的预测结果。此外,Gradio支持多种不同类型的输入(如文本、图像、音频等)和输出(如文本、图像、HTML等),并可以与大多数Python机器学习框架(如TensorFlow、PyTorch等)和常见的数据处理库(如NumPy、Pandas等)无缝集成。
Gradio的 /component_server端点不正确地允许使用攻击者控制的参数调用 Component 类的任何方法。具体来说,通过利用 Block类的 move_resource_to_block_cache()方法,攻击者可以将文件系统上的任何文件复制到临时目录,然后检索它。该漏洞允许未经授权的本地文件读取访问,尤其是当应用程序通过launch(share=True)暴露到互联网时,从而允许远程攻击者读取主机机器上的文件。此外,托管在huggingface.co上的gradio应用也受到影响,可能导致敏感信息,如存储在环境变量中的API密钥和凭据的泄露。
二、风险等级:
高危
三、影响范围:
Gradio
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://www.gradio.app
3 Lenovo printers 身份验证漏洞(CVE-2024-3286)
一、漏洞描述:
Lenovo printers是中国联想(Lenovo)公司的一款打印机。Lenovo printer存在安全漏洞,该漏洞源于允许未经身份验证的用户通过发送特制的 Web 请求来触发设备重新启动。
二、风险等级:
高危
三、影响范围:
Lenovo printers
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://iknow.lenovo.com.cn/detail/421500
4 Microsoft Edge 信息泄露漏洞(CVE-2024-30056)
一、漏洞描述:
Microsoft Edge是美国微软(Microsoft)公司的一款Windows 10之后版本系统附带的Web浏览器。Microsoft Edge存在安全漏洞,该漏洞源于存在信息泄漏问题。
二、风险等级:
高危
三、影响范围:
Microsoft Edge
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://msrc.microsoft.com/updat ... lity/CVE-2024-30056 |
发表于 2024-5-20 09:34
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
显身卡