免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表安天实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与安天实验室一律不予承担。
1 Sonatype Nexus Repository 3路径遍历漏洞(CVE-2024-4956)
一、漏洞描述:
Sonatype Nexus Repository 3(通常简称为Nexus3)是一个由Sonatype开发的仓库管理工具,用于管理和托管各种软件构件(如Maven构件、Docker镜像等),它提供了一种集中化的方式来存储、管理和分发软件构件,以帮助团队协作和构建自动化。Sonatype Nexus Repository 3.0.0 - 3.68.0版本中存在路径遍历漏洞,未经身份验证的威胁者可构造恶意URL下载目标系统上的任意文件,包括Nexus Repository 应用程序范围之外的系统文件,成功利用该漏洞可能导致应用程序源代码、配置和关键系统文件等敏感信息泄露。
二、风险等级:
高危
三、影响范围:
Sonatype Nexus Repository 3.x OSS/Pro < 3.68.1
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://help.sonatype.com/en/download.html
2 Zabbix Server SQL注入漏洞(CVE-2024-22120)
一、漏洞描述:
Zabbix是一个基于WEB界面的提供分布式系统监视以及网络监视功能的企业级开源监控解决方案,可以用来监控服务器、硬件、网络等。Zabbix多个受影响版本中存在SQL注入漏洞,该漏洞存在于audit.c的zbx_auditlog_global_script函数中,由于clientip字段未经清理,可能导致SQL时间盲注攻击,经过身份验证的威胁者可利用该漏洞从数据库中获取敏感信息,并可能导致将权限提升为管理员或导致远程代码执行。
二、风险等级:
高危
三、影响范围:
Zabbix 6.0.0 - 6.0.27
Zabbix 6.4.0 - 6.4.12
Zabbix 7.0.0alpha1 - 7.0.0beta1
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://github.com/zabbix/zabbix/tags
3 Intel Neural Compressor 身份验证漏洞(CVE-2024-22476)
一、漏洞描述:
Intel Neural Compressor是美国英特尔(Intel)公司的一款开源项目,旨在帮助开发者轻松实现AI模型的优化。Intel Neural Compressor 2.5.0 版本之前存在安全漏洞,该漏洞源于存在输入验证不正确问题。可能允许未经身份验证的用户通过远程访问实现权限升级。
二、风险等级:
高危
三、影响范围:
Intel Neural Compressor < 2.5.0
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://www.intel.com/content/ww ... intel-sa-01109.html
4 Cyber Power Systems PowerPanel Business Edition 访问权限漏洞(CVE-2024-32053)
一、漏洞描述:
Cyber Power Systems PowerPanel Business Edition是美国Cyber Power Systems公司的一套电源管理软件。该软件可自动关闭物理和虚拟基础架构、并监控和管理CyberPower UPS系统和网络连接的PDU(电源分配单元)。Cyber Power Systems PowerPanel Business Edition 4.9.0及之前版本存在安全漏洞,该漏洞源于使用硬编码凭证,可能导致攻击者获得具有PowerPanel业务应用程序权限的服务访问权限。
二、风险等级:
高危
三、影响范围:
Cyber Power Systems PowerPanel Business Edition <= 4.9.0
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://www.cyberpower.com/globa ... r_windows#downloads |
发表于 2024-5-21 09:32
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
显身卡