漏洞风险提示（20240606)

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 FM Moneo 授权问题漏洞（CVE-2024-5404）
一、漏洞描述：     
       
        IFM Moneo Appliance QHA210是德国IFM公司的一款用于在生产过程中操作 Moneo 的硬件。IFM Moneo 1.13版本存在授权问题漏洞，该漏洞源于密码恢复机制薄弱，允许未经身份验证的远程攻击者更改 moneo 设备中的管理员密码。
二、风险等级：
        高危
三、影响范围：
        IFM Moneo 1.13
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://www.ifm.com/

---

2 Ivanti EPM SQL注入漏洞（CVE-2024-29824）
一、漏洞描述：     
       
        Ivanti EPM是美国Ivanti公司的一个一站式管理用户配置文件和所有客户端设备的软件。Ivanti EPM 2022 SU5 及之前版本存在SQL注入漏洞，该漏洞源于核心服务器中存在 SQL注入漏洞，允许同一网络内的未经身份验证的攻击者执行任意代码。
二、风险等级：
        高危
三、影响范围：
        Ivanti EPM <= 2022 SU5
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://forums.ivanti.com/s/article/Security-Advisory-May-2024

---

3 Red Hat Keycloak 信息泄露漏洞（CVE-2024-4540）
一、漏洞描述：     
       
        Red Hat Keycloak是美国红帽（Red Hat）公司的一套为现代应用和服务提供身份验证和管理功能的软件。Red Hat Keycloak存在信息泄露漏洞，该漏洞源于推送授权请求 (PAR) KC_RESTART cookie 中存在敏感信息泄露。
二、风险等级：
        高危
三、影响范围：
        Red Hat Keycloak
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://bugzilla.redhat.com/show_bug.cgi?id=2279303

---

4 Zyxel NAS设备远程代码执行漏洞（CVE-2024-29974）
一、漏洞描述：     
       
        合勤科技（ZyXEL）是国际知名的网络宽带系统及解决方案供应商。Zyxel NAS326 和 NAS542 设备中的CGI 程序file_upload-cgi中存在远程代码执行漏洞，未经身份验证的威胁者可通过将恶意设计的配置文件上传到易受攻击的设备导致执行任意代码。
二、风险等级：
        高危
三、影响范围：
        NAS326设备版本<= V5.21(AAZF.16)C0
        NAS542设备版本<= V5.21(ABAG.13)C0
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://www.zyxel.com/global/en/support/download?model=nas326