漏洞风险提示（20240528)

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 Google Chrome V8类型混淆漏洞（CVE-2024-5274）
一、漏洞描述：     
       
        Google Chrome是由Google公司开发的一款网页浏览器。V8是由Google 开源的一个高性能JavaScript 引擎，被广泛应用于各种 JavaScript 执行环境，如Chrome 浏览器、Node.js等。Google Chrome 125.0.6422.112之前版本在V8 JavaScript引擎中存在类型混淆漏洞，威胁者可通过诱导受害者访问恶意HTML页面来利用该漏洞，成功利用可能导致浏览器崩溃、信息泄露或执行任意代码。
二、风险等级：
        高危
三、影响范围：
        Google Chrome（Windows/Mac）版本 < 125.0.6422.112/.113
        Google Chrome（Linux）版本 < 125.0.6422.112
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://www.google.cn/chrome/

---

2 Eclipse Vert.x内存泄露漏洞（CVE-2024-1023）
一、漏洞描述：     
       
        Eclipse Vert.x是Eclipse基金会的一个应用于JVM上用于构建响应式应用程序的工具包。Eclipse Vert.x toolkit存在内存泄露漏洞，攻击者可利用该漏洞通过将服务器作为攻击向量连接地址，进而导致内存泄露。
二、风险等级：
        高危
三、影响范围：
        Eclipse Vert.x
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://access.redhat.com/errata/RHSA-2024:1662

---

3 PingCAP TiDB 缓冲区溢出漏洞（CVE-2024-33809）
一、漏洞描述：     
       
        PingCAP TiDB是中国PingCAP公司的一个开源、云原生、分布式、兼容 MySQL 的数据库，用于弹性扩展和实时分析。PingCAP TiDB v7.5.1版本存在安全漏洞，该漏洞源于包含缓冲区溢出漏洞，可能导致数据库崩溃和拒绝服务攻击。
二、风险等级：
        高危
三、影响范围：
        PingCAP TiDB v7.5.1
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://github.com/pingcap/tidb/releases/tag/v8.1.0

---

4 Ampache跨站脚本漏洞（CVE-2024-28853）
一、漏洞描述：     
       
        Ampache是一款基于Web的音频/视频应用程序和文件管理器。Ampache 6.3.1之前版本存在跨站脚本漏洞，远程攻击者可利用该漏洞通过/preferences.php?action=admin_update_preferences的帖子请求中的参数中特制的载荷执行任意代码。
二、风险等级：
        高危
三、影响范围：
        Ampache Ampache < 6.3.1
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://github.com/ampache/ampac ... GHSA-prw2-7cr3-5mx8