免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表安天实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与安天实验室一律不予承担。
1 PHP CGI Windows平台远程代码执行漏洞(CVE-2024-4577)
一、漏洞描述:
PHP是一门通用开源脚本语言,其语法借鉴吸收C、Java和Perl等流行计算机语言的特点,因此利于学习,使用广泛,主要适用于Web开发领域。PHP语言在设计时忽略了Windows系统内部对字符编码转换的Best-Fit特性,当PHP运行在Window平台且使用了如繁体中文(代码页950)、简体中文(代码页936)和日文(代码页932)等语系时,威胁者可构造恶意请求绕过CVE-2012-1823的保护,通过参数注入等攻击在目标PHP服务器上远程执行代码。
二、风险等级:
高危
三、影响范围:
PHP 8.3 < 8.3.8
PHP 8.2 < 8.2.20
PHP 8.1 < 8.1.29
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://github.com/php/php-src/tags
2 ELECOM WRC-X3200GST3-B和WRC-G01-W操作系统命令注入漏洞(CVE-2024-25568)
一、漏洞描述:
ELECOM WRC-X3200GST3-B和WRC-G01-W是日本ELECOM公司的系列路由器。ELECOM WRC-X3200GST3-B 1.25及之前版本、WRC-G01-W 1.24及之前版本存在操作系统命令注入漏洞,未经身份认证的攻击者可利用该漏洞通过发送特制的请求执行任意操作系统命令。
二、风险等级:
高危
三、影响范围:
ELECOM WRC-X3200GST3-B <= 1.25
ELECOM WRC-G01-W <= 1.24
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://www.elecom.co.jp/news/security/20240326-01/
3 Cisco Finesse 代码问题漏洞(CVE-2024-20404)
一、漏洞描述:
Cisco Finesse是美国思科(Cisco)公司的一套呼叫中心管理软件。Cisco Finesse 存在代码问题漏洞,该漏洞源于对发送到受影响系统的特定 HTTP 请求的用户输入验证不足。
二、风险等级:
高危
三、影响范围:
Cisco Finesse
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://sec.cloudapps.cisco.com/ ... e-ssrf-rfi-Um7wT8Ew
4 PORTY Smart Tech Technology Joint Stock Company PowerBank 信息泄露漏洞(CVE-2024-1662)
一、漏洞描述:
PORTY Smart Tech Technology Joint Stock Company PowerBank是土耳其PORTY Smart Tech Technology Joint Stock Company公司的一个可出租的移动电源。PORTY Smart Tech Technology Joint Stock Company PowerBank 2.02之前版本存在信息泄露漏洞,该漏洞源于敏感信息暴露给未经授权的攻击者,从而导致允许攻击者检索嵌入式敏感数据。
二、风险等级:
高危
三、影响范围:
PORTY Smart Tech Technology Joint Stock Company PowerBank < 2.02
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://porty.tech/ |
发表于 2024-6-11 09:38
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
显身卡