漏洞风险提示（20240612)

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 Plotly Dash跨站脚本漏洞（CVE-2024-21485）
一、漏洞描述：     
       
        plotly Dash是plotly公司的一款适用于Python的数据应用程序和仪表板。Dash存在跨站脚本漏洞，攻击者利用该漏洞可以窃取数据，经过身份认证的攻击者可以利用该漏洞存储一个视图，当其他用户打开该视图时，可以窃取该用户可见的数据。
二、风险等级：
        高危
三、影响范围：
        Plotly Dash <2.0.16
        Plotly Dash < 2.15.0
        Plotly Dash < 2.13.0
        Plotly Dash < 2.0.0
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://github.com/plotly/dash/c ... cec1924f2f3a4332a8c

---

2 Beetl服务器端模板注入漏洞（CVE-2024-22533）
一、漏洞描述：     
       
        Beetl是中国李家智（xiandafu）个人开发者的一个高速模板引擎。Beetl 3.15.12之前版本存在服务器端模板注入漏洞，该漏洞源于对黑名单DefaultNativeSecurityManager过滤不严格，攻击者利用该漏洞可以绕过黑名单远程执行代码。
二、风险等级：
        高危
三、影响范围：
        beetl Beetl < 3.15.12
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://gitee.com/xiandafu/beetl

---

3 IBM Operational Decision Manager任意代码执行漏洞（CVE-2024-22320）
一、漏洞描述：     
       
        IBM Operational Decision Manager是美国国际商业机器（IBM）公司的一种决策管理解决方案，用于帮助组织更好地管理和执行业务规则和决策。IBM Operational Decision Manager 8.10.3版本存在任意代码执行漏洞，该漏洞源于不安全的反序列化，远程认证攻击者通过发送特制请求，可以在SYSTEM语境中执行任意代码。
二、风险等级：
        高危
三、影响范围：
        IBM Operational Decision Manager 8.10.3
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://exchange.xforce.ibmcloud.com/vulnerabilities/279146

---

4 Central Dogma跨站脚本漏洞（CVE-2024-1143）
一、漏洞描述：     
       
        Central Dogma是一款基于Git、ZooKeeper和HTTP/2的开源服务配置版本控制存储库。Central Dogma 0.64.0之前版本存在跨站脚本漏洞，该漏洞可能导致用户会话泄露和身份验证绕过。
二、风险等级：
        高危
三、影响范围：
        Line Central Dogma < 0.64.1
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://github.com/line/centrald ... 8156b0881850e005783